Sdílet prostřednictvím

Konektor Mimecast Targeted Threat Protection (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor pro cílenou ochranu před internetovými útoky Mimecast poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s technologiemi kontroly cílené ochrany před internetovými útoky v rámci služby Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření ve spojení s vlastními možnostmi upozornění.
Produkty Mimecast zahrnuté v konektoru jsou:

  • Ochrana adresy URL
  • Ochrana zosobnění
  • Ochrana přílohy

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Mimecast

Ukázky dotazů

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete provést integraci s cílovou ochranou před internetovými útoky Mimecast (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje nebo oprávnění rozhraní REST API: Abyste mohli nakonfigurovat integraci, musíte mít následující informace:
  • mimecastEmail: E-mailová adresa vyhrazeného uživatele správce Mimecast
  • mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
  • mimecastAppId: ID aplikace API aplikace Mimecast Microsoft Sentinel zaregistrované pomocí Mimecastu
  • mimecastAppKey: Klíč aplikace API aplikace Mimecast Microsoft Sentinel zaregistrované pomocí Mimecastu
  • mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
  • mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
  • mimecastBaseURL: Regionální adresa URL základního rozhraní API Mimecast

ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecast lze získat prostřednictvím konzoly pro správu Mimecast: Správa | Služby | Integrace rozhraní API a platformy

Základní adresa URL rozhraní API Mimecast pro každou oblast je zdokumentovaná tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Pokyny k instalaci dodavatele

Skupina prostředků

Potřebujete skupinu prostředků vytvořenou s předplatným, které budete používat.

Aplikace Functions

Abyste mohli tento konektor používat, musíte mít zaregistrovanou Aplikace Azure.

  1. ID aplikace
  2. ID tenanta
  3. ID klienta
  4. Tajný klíč klienta

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní MIMECAST API k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

Configuration (Konfigurace):

KROK 1 – Kroky konfigurace pro rozhraní MIMECAST API

Přejděte na web Azure Portal --- Registrace aplikací --->> [your_app] ---> certifikáty a tajné kódy ---> Nový tajný klíč klienta a vytvořte nový tajný klíč (uložte hodnotu někam bezpečně, protože ji později nebudete moct zobrazit ve verzi Preview).

KROK 2– Nasazení konektoru rozhraní MIMEcast API

DŮLEŽITÉ: Před nasazením konektoru rozhraní MIMEcast API zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také autorizační klíče nebo tokeny rozhraní MIMEcast API, které jsou snadno dostupné.

Nasaďte datový konektor Ochrany před cílovými útoky Mimecast:

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte následující pole:

  • appName: Jedinečný řetězec, který se použije jako ID aplikace na platformě Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> další informace ---> ID objektu> ----- profilu
  • appInsightsLocation(výchozí): westeurope
  • mimecastEmail: E-mailová adresa vyhrazeného uživatele pro tuto integraci
  • mimecastPassword: Heslo pro vyhrazeného uživatele
  • mimecastAppId: ID aplikace z aplikace Microsoft Sentinel zaregistrované pomocí Mimecastu
  • mimecastAppKey: Klíč aplikace z aplikace Microsoft Sentinel zaregistrované pomocí Mimecastu
  • mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele Mimecast
  • mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele Mimecast
  • mimecastBaseURL: Základní adresa URL rozhraní API regional Mimecast
  • activeDirectoryAppId: ID aplikace ---> webu Azure Portal Registrace aplikací --- [your_app --->]>
  • activeDirectoryAppSecret: Azure Portal --- Registrace aplikací --->> [your_app] ---> certifikáty a tajné kódy ---> [your_app_secret]
  • workspaceId: Azure Portal ---> pracovní prostory služby Log Analytics ---> [Váš pracovní prostor] --- Agenti --->> ID pracovního prostoru (nebo můžete zkopírovat ID pracovního prostoru výše).
  • workspaceKey: Azure Portal ---> pracovní prostory služby Log Analytics ---> [Váš pracovní prostor] --- agenty --->> primárním klíčem (nebo můžete zkopírovat klíč pracovního prostoru výše).
  • AppInsightsWorkspaceResourceID: Azure Portal ---> pracovní prostory služby Log Analytics ---> [Váš pracovní prostor] ---> vlastnosti ---> ID prostředku

Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault.

  1. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  2. Kliknutím na Koupit nasadíte.

  3. Přejděte na web Azure Portal --- skupiny prostředků --->> [your_resource_group] ---> [appName](typ: Účet úložiště) ---> Průzkumník služby Storage ---> kontejnery objektů blob ---> kontrolní body TTP ---> Nahrání a vytvoření prázdných souborů na vašem počítači s názvem attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt a vyberte je k nahrání (to se provádí tak, aby date_range pro protokoly TTP byly uložené v konzistentním stavu)

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.