Freigeben über

Connector „Mimecast Awareness Training“ (über Azure Functions) für Microsoft Sentinel

  • Artikel

Der Datenconnector für Mimecast Awareness Training bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien in Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind:

  • Leistungsdetails
  • Details zum Sicherheitsscore
  • Benutzerdaten
  • Watchlistdetails

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Awareness_Performance_Details_CL
Awareness_SafeScore_Details_CL
Awareness_User_Data_CL
Awareness_Watchlist_Details_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Mimecast

Abfragebeispiele

Awareness_Performance_Details_CL

Awareness_Performance_Details_CL

| sort by TimeGenerated desc

Awareness_SafeScore_Details_CL

Awareness_SafeScore_Details_CL

| sort by TimeGenerated desc

Awareness_User_Data_CL

Awareness_User_Data_CL

| sort by TimeGenerated desc

Awareness_Watchlist_Details_CL

Awareness_User_Data_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Mimecast Awareness Training (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Azure-Abonnement: Ein Azure-Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • REST-API-Anmeldeinformationen/-Berechtigungen: Weitere Informationen zur API finden Sie in der Dokumentation in der REST-API-Referenz.

Installationsanweisungen des Anbieters

Resource group

Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.

Functions-App

Sie müssen über eine Azure-App verfügen, die für diesen Connector registriert ist, um diesen Connector verwenden zu können.

  1. Anwendungs-ID
  2. Mandanten-ID
  3. Client-ID
  4. Geheimer Clientschlüssel

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit einer Mimecast-API her, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal > App-Registrierungen > [Ihre_App] > Zertifikate und Geheimnisse > Neuer geheimer Clientschlüssel, und erstellen Sie einen neuen geheimen Schlüssel. (Speichern Sie den Wert an einem sicheren Ort, da Sie ihn später nicht in der Vorschau anzeigen können.)

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Halten Sie für die Bereitstellung des Mimecast-API-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie den bzw. die Autorisierungsschlüssel oder Token der Mimecast-API bereit.

Azure Resource Manager (ARM)-Vorlage

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Mimecast Awareness Training-Datenconnectors.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

  3. Geben Sie die folgenden Informationen ein: Arbeitsbereichs-ID Arbeitsbereichsschlüssel Basis-URL (Standard: https://api.services.mimecast.com) Mimecast-Client-ID geheimer Mimecast-Clientschlüssel Protokolliergrad (Standard: INFO) Zeitplan (0 0 */1 * * *) App Insights-Arbeitsbereich Ressourcen-ID

  4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  5. Klicken Sie zum Bereitstellen auf Kaufen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.