Sdílet prostřednictvím

Konektor Mimecast Awareness Training (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor pro trénování mimecastu poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s technologiemi kontroly cílené ochrany před internetovými útoky v rámci Služby Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření ve spojení s vlastními možnostmi upozornění.
Produkty Mimecast zahrnuté v konektoru jsou:

  • Podrobnosti o výkonu
  • Podrobnosti o bezpečném skóre
  • Uživatelská data
  • Podrobnosti seznamu ke zhlédnutí

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics Awareness_Performance_Details_CL
Awareness_SafeScore_Details_CL
Awareness_User_Data_CL
Awareness_Watchlist_Details_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Mimecast

Ukázky dotazů

Awareness_Performance_Details_CL

Awareness_Performance_Details_CL

| sort by TimeGenerated desc

Awareness_SafeScore_Details_CL

Awareness_SafeScore_Details_CL

| sort by TimeGenerated desc

Awareness_User_Data_CL

Awareness_User_Data_CL

| sort by TimeGenerated desc

Awareness_Watchlist_Details_CL

Awareness_User_Data_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat s trénováním pro rozpoznávání mimecastu (pomocí Azure Functions), ujistěte se, že máte:

  • Předplatné Azure: Předplatné Azure s rolí vlastníka se vyžaduje k registraci aplikace v MICROSOFT Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje nebo oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k referenčním informacím k rozhraní REST API.

Pokyny k instalaci dodavatele

Skupina prostředků

Potřebujete skupinu prostředků vytvořenou s předplatným, které budete používat.

Aplikace Functions

Abyste mohli tento konektor používat, musíte mít zaregistrovanou Aplikace Azure.

  1. ID aplikace
  2. ID tenanta
  3. ID klienta
  4. Tajný klíč klienta

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní MIMECAST API k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

Configuration (Konfigurace):

KROK 1 – Kroky konfigurace pro rozhraní MIMECAST API

Přejděte na web Azure Portal --- Registrace aplikací --->> [your_app] ---> certifikáty a tajné kódy ---> Nový tajný klíč klienta a vytvořte nový tajný klíč (uložte hodnotu někam bezpečně, protože ji později nebudete moct zobrazit ve verzi Preview).

KROK 2– Nasazení konektoru rozhraní MIMEcast API

DŮLEŽITÉ: Před nasazením konektoru rozhraní MIMEcast API zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také autorizační klíče nebo tokeny rozhraní MIMEcast API, které jsou snadno dostupné.

Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru Mimecast Awareness Training Data Connector.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a oblast.

  3. Zadejte následující informace: Základní adresa URL klíče pracovního prostoru ID pracovního prostoru (výchozí: https://api.services.mimecast.com) Úroveň protokolu tajných klíčů klienta Mimecastu MIMEcast (výchozí: INFO) Plán (0 0 */1 * **) ID prostředku pracovního prostoru Služby App Insights

  4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  5. Kliknutím na Koupit nasadíte.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.