Sdílet prostřednictvím

Funkce Mimecast Intelligence pro Microsoft – Microsoft Sentinel (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor mimecast Intelligence pro Microsoft poskytuje regionální analýzy hrozeb kurátorované z technologií kontroly e-mailů Mimecastu s předem vytvořenými řídicími panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření.
Požadované produkty a funkce Mimecast:

  • Zabezpečená e-mailová brána Mimecast
  • Analýza hrozeb Mimecast

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics Event(ThreatIntelligenceIndicator)
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Mimecast

Ukázky dotazů

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat s funkcí Mimecast Intelligence pro Microsoft – Microsoft Sentinel (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje rozhraní MIMEcast API: Ke konfiguraci integrace musíte mít následující informace:
  • mimecastEmail: E-mailová adresa vyhrazeného uživatele správce Mimecast
  • mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
  • mimecastAppId: ID aplikace API aplikace Mimecast Microsoft Sentinel zaregistrované pomocí Mimecastu
  • mimecastAppKey: Klíč aplikace API aplikace Mimecast Microsoft Sentinel zaregistrované pomocí Mimecastu
  • mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
  • mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
  • mimecastBaseURL: Regionální adresa URL základního rozhraní API Mimecast

ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecast lze získat prostřednictvím konzoly pro správu Mimecast: Správa | Služby | Integrace rozhraní API a platformy

Základní adresa URL rozhraní API Mimecast pro každou oblast je zdokumentovaná tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Skupina prostředků: Musíte mít vytvořenou skupinu prostředků s předplatným, které budete používat.
  • Aplikace Functions: Abyste mohli tento konektor používat, musíte mít zaregistrovanou Aplikace Azure.
  1. ID aplikace
  2. ID tenanta
  3. ID klienta
  4. Tajný klíč klienta

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní MIMECAST API k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

Configuration (Konfigurace):

KROK 1 – Kroky konfigurace pro rozhraní MIMECAST API

Přejděte na web Azure Portal --- Registrace aplikací --->> [your_app] ---> certifikáty a tajné kódy ---> Nový tajný klíč klienta a vytvořte nový tajný klíč (uložte hodnotu někam bezpečně, protože ji později nebudete moct zobrazit ve verzi Preview).

KROK 2– Nasazení konektoru rozhraní MIMEcast API

DŮLEŽITÉ: Před nasazením konektoru rozhraní MIMEcast API zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také autorizační klíče nebo tokeny rozhraní MIMEcast API, které jsou snadno dostupné.

Povolení funkce Mimecast Intelligence pro Microsoft – Konektor Microsoft Sentinel:

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte následující pole:

  • appName: Jedinečný řetězec, který se použije jako ID aplikace na platformě Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> další informace ---> ID objektu> ----- profilu
  • appInsightsLocation(výchozí): westeurope
  • mimecastEmail: E-mailová adresa vyhrazeného uživatele pro tuto integraci
  • mimecastPassword: Heslo pro vyhrazeného uživatele
  • mimecastAppId: ID aplikace z aplikace Microsoft Sentinel zaregistrované pomocí Mimecastu
  • mimecastAppKey: Klíč aplikace z aplikace Microsoft Sentinel zaregistrované pomocí Mimecastu
  • mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele Mimecast
  • mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele Mimecast
  • mimecastBaseURL: Základní adresa URL rozhraní API regional Mimecast
  • activeDirectoryAppId: ID aplikace ---> webu Azure Portal Registrace aplikací --- [your_app --->]>
  • activeDirectoryAppSecret: Azure Portal --- Registrace aplikací --->> [your_app] ---> certifikáty a tajné kódy ---> [your_app_secret]
  • workspaceId: Azure Portal ---> pracovní prostory služby Log Analytics ---> [Váš pracovní prostor] --- Agenti --->> ID pracovního prostoru (nebo můžete zkopírovat ID pracovního prostoru výše).
  • workspaceKey: Azure Portal ---> pracovní prostory služby Log Analytics ---> [Váš pracovní prostor] --- agenty --->> primárním klíčem (nebo můžete zkopírovat klíč pracovního prostoru výše).
  • AppInsightsWorkspaceResourceID: Azure Portal ---> pracovní prostory služby Log Analytics ---> [Váš pracovní prostor] ---> vlastnosti ---> ID prostředku

Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault.

  1. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  2. Kliknutím na Koupit nasadíte.

  3. Přejděte na web Azure Portal --- skupiny prostředků --->> [your_resource_group] ---> [appName](typ: účet úložiště) ---> Průzkumník služby Storage ---> KONTEJNERY OBJEKTŮ BLOB ---> kontrolní body TIR ---> Nahrajte a vytvořte na svém počítači prázdný soubor s názvem checkpoint.txt a vyberte ho k nahrání (to se provádí tak, aby date_range pro protokoly TIR byly uložené v konzistentním stavu).

Další konfigurace:

Připojte se k datovému konektoru Platformy analýzy hrozeb. Postupujte podle pokynů na stránce konektoru a klikněte na tlačítko Připojit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.