Mimecast Audit-Connector (über Azure Functions) für Microsoft Sentinel
Der Datenconnector für Mimecast Audit bietet Kunden Transparenz von Sicherheitsereignissen im Zusammenhang mit Überwachungs- und Authentifizierungsereignissen in Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in Benutzeraktivitäten anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind: Audit
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | MimecastAudit_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Mimecast |
Abfragebeispiele
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Mimecast Audit (über Azure Functions) sicher, dass Folgendes vorhanden ist:
- Azure-Abonnement: Ein Azure-Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- REST-API-Anmeldeinformationen/-Berechtigungen: Weitere Informationen zur API finden Sie in der Dokumentation in der REST-API-Referenz.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit einer Mimecast-API her, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Konfiguration:
SCHRITT 1: Konfigurationsschritte für die Mimecast-API
Wechseln Sie zu Azure-Portal > App-Registrierungen > [Ihre_App] > Zertifikate und Geheimnisse > Neuer geheimer Clientschlüssel, und erstellen Sie einen neuen geheimen Schlüssel. (Speichern Sie den Wert an einem sicheren Ort, da Sie ihn später nicht in der Vorschau anzeigen können.)
SCHRITT 2: Bereitstellen des Mimecast-API-Connectors
WICHTIG: Halten Sie für die Bereitstellung des Mimecast-API-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie den bzw. die Autorisierungsschlüssel oder Token der Mimecast-API bereit.
Bereitstellen des Mimecast Audit-Datenconnectors
Verwenden Sie diese Methode für die automatisierte Bereitstellung des Mimecast Audit-Datenconnectors.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.
Geben Sie die folgenden Informationen ein: Arbeitsbereichs-ID Arbeitsbereichsschlüssel Basis-URL (Standard: https://api.services.mimecast.com) Startdatum Mimecast-Client-ID geheimer Mimecast-Clientschlüssel Protokolliergrad (Standard: INFO) Zeitplan (0 0 */1 * * *) App Insights-Arbeitsbereich Ressourcen-ID
Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
Klicken Sie zum Bereitstellen auf Kaufen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.