Mimecast

Versão da integração: 9.0

Casos de uso

  1. Realizar a ingestão das mensagens
  2. Realizar triagem (rejeitar/liberar/denunciar mensagem)

Antes de começar

Para configurar a integração do Mimecast, primeiro crie uma função do Mimecast com as permissões necessárias no Mimecast Administration Console.

As permissões necessárias são as seguintes:

  • Account | Dashboard | Read

  • Account | Monitoring | Held | Edit

  • Archive | Search Logs | Read

  • Archive | View Logs | Read

  • Gateway | Managed Senders | Edit

  • Gateway | Policies | Edit

  • Gateway | Policies | Read

  • Gateway | Tracking | Read

Configurar a integração do Mimecast no Google SecOps

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Raiz da API String https:/<<api root>> Sim Raiz da API da instância do Mimecast.
ID do aplicativo String N/A Sim ID do aplicativo da instância do Mimecast.
Chave do app Senha N/A Sim Chave do aplicativo da instância do Mimecast.
Chave de acesso Senha N/A Sim Chave de acesso da instância do Mimecast.
Chave secreta Senha N/A Sim Chave secreta da instância do Mimecast.
Verificar SSL Caixa de seleção Selecionado Sim Se ativada, verifique se o certificado SSL da conexão com o servidor do Mimecast é válido.
Observação: você pode fazer mudanças mais tarde, se necessário. Depois de configuradas, as instâncias podem ser usadas em playbooks. Para informações detalhadas sobre como configurar e oferecer suporte a várias instâncias, consulte [Suporte a várias instâncias](/chronicle/docs/soar/respond/integrations-setup/supporting-multiple-instances). ## Nuances da configuração de integração 1. O servidor do Google Security Operations precisa ser sincronizado com o servidor do Mimecast. 1. Informações sobre todos os parâmetros necessários para a configuração estão disponíveis nos seguintes links: [https://community.mimecast.com/s/article/Managing-API-Applications-505230018](https://community.mimecast.com/s/article/Managing-API-Applications-505230018) e [https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061](https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061) ## Ações ### Ping #### Descrição Teste a conectividade com o Mimecast usando os parâmetros fornecidos na página de configuração da integração na guia "Google SecOps Marketplace". #### Parâmetros N/A Executar em Essa ação não é executada em entidades. #### Resultados da ação ##### Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
se for bem-sucedida: "Conexão com o servidor do Mimecast estabelecida com sucesso usando os parâmetros fornecidos!"

A ação vai falhar e interromper a execução de um playbook:
se não for bem-sucedida: "Não foi possível se conectar ao servidor do Mimecast. O erro é {0}".format(exception.stacktrace)

 Geral

Descrição

Pesquise e-mails arquivados usando parâmetros definidos no Mimecast.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Campos a serem retornados CSV

attachmentcount,status,subject,
size,receiveddate,displayfrom,
displayfromaddress,id,displayto,
displaytoaddresslist,smash

 Sim Especifique uma lista separada por vírgulas de campos que precisam ser retornados.
Caixas de correio CSV N/A Não Especifique uma lista separada por vírgulas de caixas de correio que precisam ser pesquisadas.
De CSV N/A Não Especifique uma lista separada por vírgulas de endereços de e-mail de onde as mensagens foram enviadas.
Para CSV N/A Não Especifique uma lista separada por vírgulas de endereços de e-mail para os quais as mensagens foram enviadas.
Assunto String N/A Não Especifique um assunto que precisa ser pesquisado.
Período DDL

Última hora

Valores possíveis:

Última hora

Últimas 6 horas

Últimas 24 horas

Última semana

Mês anterior

Personalizado

 Sim Especifique um período para a pesquisa. Se "Personalizado" estiver selecionado, você também precisará informar o "Horário de início".
Horário de início String N/A Não Especifique o horário de início da pesquisa. Esse parâmetro é obrigatório se "Personalizado" for selecionado para o parâmetro "Período". Formato: ISO 8601
Horário de término String N/A Não Especifique o horário de término da pesquisa. Formato: ISO 8601. Se nada for fornecido e "Personalizado" for selecionado para o parâmetro "Período", esse parâmetro usará a hora atual.
Número máximo de e-mails a serem retornados Integração 50 Não Especifique quantos e-mails serão retornados. Padrão: 50.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
if data is available(is_success = true): "Successfully found archive emails for the provided criteria in Mimecast".

Se os dados não estiverem disponíveis (is_success=true): "Nenhum e-mail de arquivo foi encontrado para os critérios fornecidos no Mimecast"



A ação vai falhar e interromper a execução de um playbook
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Pesquisa simples de arquivo". Motivo: {0}''.format(error.Stacktrace)

Se o horário de início estiver vazio e o período for "Personalizado": "Erro ao executar a ação "Pesquisa simples no arquivo". Motivo: "Horário de início" precisa ser informado quando "Personalizado" é selecionado no parâmetro "Período".

Se fail/errors tiver valores:erro ao executar a ação "Pesquisa simples no arquivo". Motivo: fail/errors/message".

Geral
Tabela do painel de casos

Nome:Resultados

Colunas:

Todas as chaves da resposta

 Geral

Descrição

Pesquise e-mails arquivados usando uma consulta XML personalizada no Mimecast.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Consulta XML XML N/A Sim Especifique uma consulta XML a ser usada ao pesquisar e-mails arquivados. Consulte a documentação para mais detalhes.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
if data is available(is_success = true): "Successfully found archive emails for the provided criteria in Mimecast".

Se os dados não estiverem disponíveis (is_success=true): "Nenhum e-mail de arquivo foi encontrado para os critérios fornecidos no Mimecast".

A ação vai falhar e interromper a execução de um playbook
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outros: "Erro ao executar a ação "Pesquisa avançada de arquivo". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores:erro ao executar a ação "Pesquisa avançada no arquivo". Motivo: fail/errors/message".

Geral
Tabela do painel de casos

Nome:Resultados

Colunas:

Todas as chaves da resposta

 Geral

Rejeitar mensagem

Descrição

Rejeitar a mensagem no Mimecast. Observação: apenas mensagens com o status "Em espera" podem ser rejeitadas.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID da mensagem String N/A Sim Especifique o ID da mensagem que precisa ser rejeitada.
Observação String N/A Não Especifique uma observação adicional com uma explicação sobre o motivo da rejeição da mensagem.
Motivo DLL

Selecione uma opção.

Valores possíveis:

Selecione uma opção.

Comunicação inadequada

Informações confidenciais

Contra a política de e-mail

Conteúdo restrito

 Não Especifique o motivo da recusa.
Notificar o remetente Caixa de seleção Desmarcado Não Se ativada, a ação vai notificar o remetente sobre a rejeição.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
Se não houver "erros" na resposta (is_success = true): "Mensagem com ID "{ID}" rejeitada com sucesso no Mimecast".

A ação deve falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Rejeitar mensagem". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores:erro ao executar a ação "Rejeitar mensagem". Motivo: fail/errors/message".

Geral

Liberar mensagem

Descrição

Libere a mensagem no Mimecast. Observação: apenas mensagens com o status "Retida" podem ser liberadas.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID da mensagem String N/A Sim Especifique o ID da mensagem que precisa ser liberada.
Lançar no sandbox Caixa de seleção N/A Não Se ativada, a ação vai liberar a mensagem para o sandbox.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
Se não houver "erros" na resposta (is_success = true): "A mensagem com o ID "{ID}" foi liberada no Mimecast".

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, entre outros: "Erro ao executar a ação "Liberar mensagem". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores:erro ao executar a ação "Liberar mensagem". Motivo: fail/errors/message".

Geral

Denunciar mensagem

Descrição

Denuncie a mensagem no Mimecast. Observação: só é possível denunciar mensagens com os status "Retida", "Arquivada" e "Rejeitada".

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
IDs das mensagens String N/A Sim Especifique o ID da mensagem que precisa ser denunciada.
Denunciar como DDL

Spam

Valores possíveis:

Spam

Malware

Phishing

 Não Especifique o tipo de denúncia para a mensagem.
Comentário String N/A Não Especifique o comentário para a denúncia.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
se os dados estiverem disponíveis(is_success = true): "As seguintes mensagens com o ID "{ID}" foram informadas com sucesso no Mimecast".

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, entre outros: "Erro ao executar a ação "Informar mensagem". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores:erro ao executar a ação "Report Message". Motivo: fail/errors/message".

 Geral

Bloquear remetente

Descrição

Bloqueie o remetente no Mimecast.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Remetente String N/A Sim Especifique o endereço de e-mail do remetente que você quer bloquear.
Destinatário String N/A Sim Especifique o endereço de e-mail do destinatário que você quer bloquear.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
Se não houver "erros" na resposta (is_success = true): "O remetente {sender} foi bloqueado para o destinatário {recipient} no Mimecast".

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Bloquear remetente". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores:erro ao executar a ação "Bloquear remetente". Motivo: fail/errors/message".

 Geral

Permitir remetente

Descrição

Permita o remetente no Mimecast.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Remetente String N/A Sim Especifique o endereço de e-mail do remetente que você quer permitir.
Destinatário String N/A Sim Especifique o endereço de e-mail do destinatário que será permitido.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Painel de casos
Tipo de resultado Valor / Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:
Se não houver "erros" na resposta (is_success = true): "O remetente {sender} foi permitido para o destinatário {recipient} no Mimecast".

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Permitir remetente". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores:erro ao executar a ação "Permitir remetente". Motivo: fail/errors/message".

 Geral

Criar política de bloqueio de remetente

Crie uma política de bloqueio de remetente no Mimecast.

Executar em

Essa ação não é executada em nenhuma entidade.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão Marca-d'água É obrigatório Descrição
Resposta DDL N/A N/A Não Informe o tipo de resposta que será associada à política criada.
Descrição String N/A N/A Sim Descrição da política.
Dados extraídos DDL N/A N/A Defina de onde as informações sobre remetente e destinatário serão extraídas.
Remetente String N/A N/A Não De quem a mensagem precisa ser enviada para ser bloqueada. Só é necessário se "Tipo de remetente" for um dos seguintes: domínio de e-mail, endereço de e-mail, nome de exibição do cabeçalho. Esse parâmetro será ignorado se um valor diferente de "Tipo de origem" for selecionado.
Tipo de remetente DDL N/A N/A Não Tipo do remetente da política.
Destinatário String N/A N/A Não Para quem a mensagem precisa ser enviada para ser bloqueada. Só é necessário se "Tipo de destinatário" for um dos seguintes: domínio de e-mail, endereço de e-mail, nome de exibição do cabeçalho. Esse parâmetro será ignorado se um valor diferente de "Tipo de destinatário" for selecionado.
Tipo de destinatário DDL N/A N/A Não Tipo do destinatário da política.
Comentário String N/A N/A Não Comentário para uma política.
Bidirecional Booleano N/A N/A Não Se ativada, a política será definida de forma bidirecional.
Aplicada Booleano N/A N/A Não Se ativada, a política será aplicada.
Horário de início String N/A N/A Não Horário de início da política. Se nada for fornecido, o horário de início será definido como eterno. Espera o formato ISO 8601. Exemplo: 2025-03-07T16:03:00Z
Horário de término String N/A N/A Não Horário de término da política. Se nada for fornecido, o horário de término será definido como eterno. Espera o formato ISO 8601. Exemplo: 2025-03-07T16:03:00Z

Resultados da ação

Tipo Disponível
Resultado do script Verdadeiro
Resultado do JSON Verdadeiro
Tabela de enriquecimento Falso
Tabela do painel de casos Falso
Link do Painel de casos Falso
Anexo do Painel de casos Falso
Resultado do script
Nome do resultado do script Opções de valor
is_success is_success=False
is_success is_success=True
Resultado do JSON
{
   "option": "block_sender",
   "id": "eNo1jr0OgjAYAN-lqw79QKyYOCCSiCJGqSCjlmqQn2ILNmp8d3Fwv8vdGynOOsnzDE3RSsP4ZTT0tPUMO3DL1pK-LrFZzzfJ9XJTrC78yPZgcc7CW1QdSLuUo11Mfc2rpIsfxlxQHFsDFXKPdkeq10ym7uJeDIKLA6Z66T1NUklI4c3QEDWizNnzVzYnBthDxDrViopLJjLe77iHyAEgjkmgpx9cqlzUaAp_kz4b7vc2YDzCny9vYUEo",
   "policy": {
       "description": "Description",
       "fromPart": "both",
       "from": {
           "type": "individual_email_address",
           "emailAddress": "example@exampl.com"
       },
       "to": {
           "type": "individual_email_address",
           "emailAddress": "exampleto@exampl.com"
       },
       "fromType": "individual_email_address",
       "fromValue": "example@exampl.com",
       "toType": "individual_email_address",
       "toValue": "exampleto@exampl.com",
       "fromEternal": true,
       "toEternal": true,
       "fromDate": "1900-01-01T00:00:00+0000",
       "toDate": "2100-01-01T23:59:59+0000",
       "override": false,
       "bidirectional": false,
       "conditions": {},
       "enabled": true,
       "enforced": true,
       "createTime": "2025-03-27T12:51:46+0000",
       "lastUpdated": "2025-03-27T12:51:46+0000"
   }
}
Painel de casos
Tipo de resultado Valor/descrição Tipo (entidade \ geral)
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:


Se não houver "erros" na resposta (is_success = true): imprima "Successfully created a block sender policy in Mimecast".

A ação precisa falhar e interromper a execução de um playbook:

if fatal error, like wrong credentials, no connection to server, other:print "Error executing action "{action name}". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores:erro ao executar a ação "{action name}". Motivo: fail/errors/message".

Conector

Mimecast: conector de rastreamento de mensagens

Descrição

Extraia informações sobre mensagens da guia "Rastreamento de mensagens" no Mimecast. Observação: a lista de permissão funciona no parâmetro "queueDetailStatus/bounceType".

Configurar o conector de rastreamento de mensagens do Mimecast no Google SecOps

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do campo do produto String Nome do produto Sim Insira o nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento String event_type Sim Insira o nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo de ambiente String "" Não

Descreve o nome do campo em que o nome do ambiente é armazenado.

Se o campo de ambiente não for encontrado, o ambiente será o padrão.
Padrão de regex do ambiente String .* Não

Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente".

O padrão é ".*" para capturar tudo e retornar o valor sem alterações.

Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex.

Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Tempo limite do script (segundos) Int 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API String https:/<<api root>> Sim Raiz da API da instância do Mimecast.
ID do aplicativo String N/A Sim ID do aplicativo da instância do Mimecast.
Chave do app Senha N/A Sim Chave do aplicativo da instância do Mimecast.
Chave de acesso Senha N/A Sim Chave de acesso da instância do Mimecast.
Chave secreta Senha N/A Sim Chave secreta da instância do Mimecast.
Domínios CSV N/A Sim Uma lista separada por vírgulas de domínios para consultar mensagens.
Menor risco de busca String N/A Não

O menor risco que será usado para buscar mensagens. Valores possíveis:

Insignificante, baixa, média, alta.

Se nada for fornecido, o conector vai ingerir todas as mensagens.
Filtro de status CSV realizadas

Uma lista separada por vírgulas de filtros de status para as mensagens. Valores possíveis: delivery, held, accepted, bounced, deferred, rejected, archived.

Se nada for fornecido, o conector vai ingerir todas as mensagens.
Filtro de rota CSV N/A

Filtros de rota separados por vírgulas para as mensagens. Valores possíveis: internal, outbound, inbound.

Se nada for fornecido, o conector vai ingerir todas as mensagens.
Filtro de motivo da fila CSV N/A

Uma lista separada por vírgulas de motivos da fila que devem filtrar as mensagens. Se nada for fornecido, esse filtro será ignorado.
Ingerir mensagens sem risco Caixa de seleção Se ativado, o conector vai ingerir mensagens mesmo que não haja informações sobre risco. Os alertas do Google SecOps gerados com base nessas mensagens terão a prioridade definida como "Informativa".
Máximo de horas para trás Número inteiro 1 Não Quantidade de horas de onde buscar mensagens. Padrão: 1 hora; Máximo: 30 dias.
Número máximo de mensagens a serem retornadas Número inteiro 100 Não Quantas mensagens processar por iteração de um conector. Padrão: 100;
Usar a lista de permissões como uma lista de proibições Caixa de seleção Selecionado Sim Se ativada, a lista de permissões será usada como uma lista de bloqueios.
Verificar SSL Caixa de seleção Selecionado Sim Se ativada, verifique se o certificado SSL da conexão com o servidor do Mimecast é válido.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a ser usado.
Nome de usuário do proxy String N/A Não O nome de usuário do proxy para autenticação.
Senha do proxy Senha N/A Não A senha do proxy para autenticação.

Regras de conector

Suporte a proxy

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.