Mimecast API 2.0 - Email Security Cloud Gateway インテグレーションガイド

以下の手順に従って、Mimecast API 2.0 を Secureworks® Taegis™ XDR へのログ取り込み用に設定してください。XDR は Mimecast API 2.0 のインテグレーションをサポートしています。

• SIEMログ
• Targeted Threat Protection (TTP)

インテグレーションから提供されるデータ

以下の Mimecast ログおよび統計APIエンドポイント が XDR でサポートされています。

• SIEMログの取得
• TTP添付ファイル保護ログの取得
• TTPなりすまし保護ログの取得
• TTP URLログの取得

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Mimecast		HTTP	Email

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

前提条件

必要な権限を持つロールの作成

Mimecast管理者コンソールで以下を実施してください。

1. Account → Roles に移動します。
2. New Role をクリックし、名前を入力します。例: Taegis Integration Role

3. Application Permissions で以下の権限を選択します。

   • Monitoring Menu → Attachment Protection → Read
   • Monitoring Menu → URL Protection → Read
   • Monitoring Menu → Impersonation Protection Logs → Read
   • Security Events and Data Retrieval → Threat and security events (SIEM) → Read
   • Security Events and Data Retrieval → Threat and security statistics → Read

4. Save and Exit をクリックします。

Mimecastでのログの有効化

Mimecastでログを有効にするには、以下の手順を実施してください。

Mimecast管理者コンソールで:

1. Administration → Account → Account Settings に移動します。

2. Enhanced Logging で以下のログタイプを選択します。

   • Inbound
   • Outbound
   • Internal

3. Save をクリックします。

Mimecastプラットフォームの設定

Mimecastドキュメント API & Integrations - Managing API 2.0 for Cloud Gateway の手順に従い、XDR インテグレーション用のAPI 2.0アプリケーションを作成してください。

1. Application Details セクションで以下の値を入力します:
   • Application Name 例: Taegis Integration
   • Category で XDR Integration を選択
   • Products で Select All を選択
   • Application Role で先ほど作成したロールを選択
2. Notification Settings セクションで、MimecastがこのAPIの利用について連絡する場合のメール連絡先を入力します。
3. サマリーを確認し、Add and Generate Keys をクリックします。
4. Client ID および Client Secret キーが表示されます。これらのキーを安全な場所にコピーしてください。インテグレーションの完了時に使用します。

重要

キーは作成時に記録してください。一度作成後は再表示・再取得できません。紛失した場合は新たに生成する必要があります。

XDR でのインテグレーション追加

注意

Mimecast TTP および SIEM ログ用に個別のインテグレーションが実装されています。これはAPIエンドポイントがTaegisにログメッセージを配信する方法の違いにより、取り込み効率を最大化するためです。

1. Taegis Menu から Integrations → Cloud APIs を選択します。

2. ページ上部の Add an Integration を選択します。

   

   Add an Integration

3. Optimizedタブから Mimecast 2.0 SIEM を選択します。

   

   Creating a New Mimecast Integration

4. 以下の値を入力します:

   • Taegis Integration Name — インテグレーションの一意な名前として使用します。100文字までの任意の値を指定可能です。
   • Mimecast Client ID
   • Mimecast Client Secret

5. Done を選択します。Cloud API IntegrationsページにMimecastインテグレーションが正常に追加されて表示されます。

6. Mimecast 2.0 TTP インテグレーションについても、1～5の手順を繰り返します。SIEMログインテグレーションで作成したClient ID/SecretはTTPインテグレーションでも利用可能です。

上記手順が完了すると、Mimecastインテグレーションの詳細がCloud APIsページで確認できます。Taegis Menu から Integrations → Cloud APIs を選択してください。

XDR でのイベントおよび検出の検索

センサータイプは Mimecast です。Mimecast 1.0 および 2.0 のイベントや検出は、APIインテグレーション名で区別できます。

たとえば、インテグレーション名を Mimecast2.0Demo とした場合、詳細検索で以下のクエリが利用できます。

WHERE sensor_type = 'mimecast' AND ingest.integration_id = 'mimecast2.0demo'

クエリ言語を用いた詳細検索

Mimecast Advanced Search

クエリ言語検索例

Mimecastの email イベントを直近24時間で検索する場合:

FROM email WHERE sensor_type = 'Mimecast' and EARLIEST=-24h

Mimecastの email イベントのうち "Delivered" と分類されたものを検索する場合:

FROM email WHERE sensor_type = 'Mimecast' AND status = 'delivered'

Mimecastの email イベントのうちブロックされていないものを検索する場合:

FROM email WHERE sensor_type = 'Mimecast' AND original_data CONTAINS 'virus'

イベント詳細

Mimecast Event Details

XDR によるデータの正規化

Mimecast Normalized Data

検出の詳細

Mimecast Detection Details

関連トピック

• APIインテグレーションのステータスと正常性の確認
• インテグレーションの削除