Mimecast API 2.0 - Email Security Cloud Gateway インテグレーションガイド🔗
以下の手順に従って、Mimecast API 2.0 を Secureworks® Taegis™ XDR へのログ取り込み用に構成してください。XDR は Mimecast API 2.0 のインテグレーションをサポートしています。
- SIEMログ
- Targeted Threat Protection (TTP)
インテグレーションから提供されるデータ🔗
以下の Mimecast Logs and Statistics API Endpoints が XDR でサポートされています。
- Get SIEM Logs
- Get TTP Attachment Protection Logs
- Get TTP Impersonation Protect Logs
- Get TTP URL Logs
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Mimecast | HTTP |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
Taegis IPアドレス範囲🔗
このインテグレーション用に既存のファイアウォールまたはAPIゲートウェイのIP許可リストを設定している場合、または設定を予定している場合は、お客様のTaegisリージョンに応じて以下のXDR IPアドレス範囲を追加してください。
| Taegisリージョン | IPアドレス範囲 |
|---|---|
| Charlie | 216.9.204.0/24 |
| Delta | 216.9.204.0/24 |
| Echo | 216.9.205.0/24 |
| Foxtrot | 216.9.206.0/24 |
| Golf | 216.9.207.0/24 |
| Hotel | 208.89.40.0/24 |
| India | 208.89.42.0/24 |
| Juliet | 208.89.41.0/24 |
| Kilo | 208.89.43.0/24 |
| Quebec | 208.89.44.0/24 |
注意
2026年6月8日現在、XDR インテグレーションに必要なIP範囲はこれらのみです。以前のIPアドレスを設定していた場合は、特に案内がない限り、この日から30日後に削除することを推奨します。
前提条件🔗
必要な権限を持つロールの作成🔗
Mimecast管理者コンソールで以下を実施してください。
- Account → Roles に移動します。
- New Role をクリックし、名前を入力します(例:
Taegis Integration Role)。 -
Application Permissions で以下の権限を選択します。
- Monitoring Menu → Attachment Protection → Read
- Monitoring Menu → URL Protection → Read
- Monitoring Menu → Impersonation Protection Logs → Read
- Security Events and Data Retrieval → Threat and security events (SIEM) → Read
- Security Events and Data Retrieval → Threat and security statistics → Read
-
Save and Exit をクリックします。
Mimecastでのログの有効化🔗
Mimecastでログを有効にするには、以下の手順を実施してください。
Mimecast管理者コンソールで:
- Administration → Account → Account Settings に移動します。
-
Enhanced Logging で、以下のログタイプを選択します。
- Inbound
- Outbound
- Internal
-
Save をクリックします。
Mimecastプラットフォーム構成🔗
Mimecastドキュメント API & Integrations - Managing API 2.0 for Cloud Gateway の手順に従い、XDR インテグレーション用のAPI 2.0アプリケーションを作成してください。
- Application Details セクションで、以下の値を入力します。
- Application Name(例:
Taegis Integration) - Category で XDR Integration を選択
- Products で Select All を選択
- Application Role で先ほど作成したロールを選択
- Application Name(例:
- Notification Settings セクションで、MimecastがこのAPIの利用について連絡する場合のメール連絡先を入力します。
- サマリーを確認し、Add and Generate Keys をクリックします。
- Client ID と Client Secret キーが表示されます。これらのキーは安全な場所にコピーしてください。インテグレーションの完了時に使用します。
重要
キーは作成時に必ず記録してください。一度表示した後は再表示・再取得できません。紛失した場合は新たに生成する必要があります。
XDR でのインテグレーション追加🔗
注意
Mimecast TTPとSIEMログ用に個別のインテグレーションが実装されています。これはAPIエンドポイントがTaegisにログメッセージを配信する方式の違いにより、取り込み効率を最大化するためです。
-
Taegis Menu から Integrations → Cloud APIs を選択します。
-
ページ上部の Add an Integration を選択します。

Add an Integration -
Optimizedタブから Mimecast 2.0 SIEM を選択します。

Creating a New Mimecast Integration -
以下の値を入力します。
- Taegis Integration Name — インテグレーションの一意な名前として機能します。100文字以内の任意の値を指定可能です。
- Mimecast Client ID
- Mimecast Client Secret
-
Done を選択します。Cloud API IntegrationsページにMimecastインテグレーションが正常に追加されて表示されます。
-
Mimecast 2.0 TTP インテグレーションについても、手順1~5を繰り返してください。SIEM Logsインテグレーションで作成したClient ID/SecretをTTPインテグレーションでも利用できます。
上記手順が完了すると、Mimecastインテグレーションの詳細がCloud APIsページで確認できます。Taegis Menu から Integrations → Cloud APIs を選択してください。
XDR でのイベントおよび検知の検索🔗
センサータイプは Mimecast です。Mimecast 1.0と2.0のイベントおよび検知は、APIインテグレーション名で区別できます。
たとえば、インテグレーション名を Mimecast2.0Demo とした場合、詳細検索で以下のクエリを使用できます。
WHERE sensor_type = 'mimecast' AND ingest.integration_id = 'mimecast2.0demo'
クエリ言語を用いた詳細検索🔗

クエリ言語検索例🔗
過去24時間のMimecast email イベントを検索するには:
FROM email WHERE sensor_type = 'Mimecast' and EARLIEST=-24h
"Delivered" と分類されたMimecast email イベントを検索するには:
FROM email WHERE sensor_type = 'Mimecast' AND status = 'delivered'
ブロックされていないMimecast email イベントを検索するには:
FROM email WHERE sensor_type = 'Mimecast' AND original_data CONTAINS 'virus'
イベント詳細🔗

XDR によるデータの正規化🔗

検知の詳細🔗
