Mimecast API 2.0 - Email Security Cloud Gateway インテグレーションガイド

以下の手順に従って、Mimecast API 2.0 を Secureworks® Taegis™ XDR へのログ取り込み用に構成してください。XDR は Mimecast API 2.0 のインテグレーションをサポートしています。

• SIEMログ
• Targeted Threat Protection (TTP)

インテグレーションから提供されるデータ

以下の Mimecast Logs and Statistics API Endpoints が XDR でサポートされています。

• Get SIEM Logs
• Get TTP Attachment Protection Logs
• Get TTP Impersonation Protect Logs
• Get TTP URL Logs

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Mimecast		HTTP	Email

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

前提条件

必要な権限を持つロールの作成

Mimecast管理者コンソールで以下を実施してください。

1. Account → Roles に移動します。
2. New Role をクリックし、名前を入力します。例: Taegis Integration Role

3. Application Permissions で以下の権限を選択します。

   • Monitoring Menu → Attachment Protection → Read
   • Monitoring Menu → URL Protection → Read
   • Monitoring Menu → Impersonation Protection Logs → Read
   • Security Events and Data Retrieval → Threat and security events (SIEM) → Read
   • Security Events and Data Retrieval → Threat and security statistics → Read

4. Save and Exit をクリックします。

Mimecastでのログの有効化

Mimecastでログを有効にするには、以下の手順を実施してください。

Mimecast管理者コンソールで:

1. Administration → Account → Account Settings に移動します。

2. Enhanced Logging で、以下のログタイプを選択します。

   • Inbound
   • Outbound
   • Internal

3. Save をクリックします。

Mimecast プラットフォーム構成

Mimecastドキュメント API & Integrations - Managing API 2.0 for Cloud Gateway の手順に従い、XDR インテグレーション用の API 2.0 アプリケーションを作成してください。

1. Application Details セクションで、以下の値を入力します。
   • Application Name 例: Taegis Integration
   • Category で XDR Integration を選択
   • Products で Select All を選択
   • Application Role で先ほど作成したロールを選択
2. Notification Settings セクションで、MimecastがこのAPIの利用について連絡する場合のメール連絡先を入力します。
3. サマリーを確認し、Add and Generate Keys をクリックします。
4. Client ID と Client Secret キーが表示されます。これらのキーを安全な場所にコピーしてください。インテグレーションの完了に使用します。

重要

キーは作成時に記録してください。この時点を過ぎると再表示や再取得はできません。紛失した場合は新たに生成する必要があります。

XDR でのインテグレーション追加

注意

Mimecast TTP と SIEM ログの取り込み効率を最大化するため、両者のインテグレーションは分離されています。APIエンドポイントがTaegisにログメッセージを配信する方式が異なるためです。

1. Taegis Menu から Integrations → Cloud APIs を選択します。

2. ページ上部の Add an Integration を選択します。

   

   Add an Integration

3. Optimized タブから Mimecast 2.0 SIEM を選択します。

   

   Creating a New Mimecast Integration

4. 以下の値を入力します。

   • Taegis Integration Name — インテグレーションの一意な名前として使用します。最大100文字まで任意の値を入力可能です。
   • Mimecast Client ID
   • Mimecast Client Secret

5. Done を選択します。Cloud API Integrations ページに Mimecast インテグレーションが正常に追加されて表示されます。

6. Mimecast 2.0 TTP インテグレーションについても、1～5の手順を繰り返してください。SIEM Logs インテグレーションで作成した Client ID/Secret を TTP インテグレーションでも利用できます。

上記手順が完了すると、Mimecastインテグレーションの詳細がCloud APIsページで確認できます。Taegis Menu から Integrations → Cloud APIs を選択してください。

XDR でのイベントおよび検知の検索

センサータイプは Mimecast です。Mimecast 1.0 と 2.0 のイベントおよび検知は、APIインテグレーション名で区別できます。

たとえば、インテグレーション名を Mimecast2.0Demo とした場合、詳細検索で以下のクエリを使用できます。

WHERE sensor_type = 'mimecast' AND ingest.integration_id = 'mimecast2.0demo'

クエリ言語を用いた詳細検索

Mimecast Advanced Search

クエリ言語検索例

過去24時間の Mimecast email イベントを検索するには:

FROM email WHERE sensor_type = 'Mimecast' and EARLIEST=-24h

"Delivered" と分類された Mimecast email イベントを検索するには:

FROM email WHERE sensor_type = 'Mimecast' AND status = 'delivered'

ブロックされていない Mimecast email イベントを検索するには:

FROM email WHERE sensor_type = 'Mimecast' AND original_data CONTAINS 'virus'

イベント詳細

Mimecast Event Details

XDR によるデータの正規化

Mimecast Normalized Data

検知詳細

Mimecast Detection Details

関連トピック

• APIインテグレーションのステータスと正常性の確認
• インテグレーションの削除