Mimecast Secure Email Gateway-Connector (mit Azure Functions) für Microsoft Sentinel
Der Datenconnector für Mimecast Secure Email Gateway ermöglicht eine einfache Protokollsammlung über den Secure Email Gateway, um E-Mail-Einblicke und Benutzeraktivitäten in Microsoft Sentinel anzuzeigen. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind. Erforderliche Mimecast-Produkte und -Features:
- Mimecast Secure Email Gateway
- Mimecast Verhinderung von Datenlecks
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | MimecastSIEM_CL MimecastDLP_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Mimecast |
Abfragebeispiele
MimecastSIEM_CL
MimecastSIEM_CL
| sort by TimeGenerated desc
MimecastDLP_CL
MimecastDLP_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Mimecast Secure Email Gateway (mit Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Mimecast-API-Anmeldeinformationen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
- mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
- mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
- mimecastAppId: API-Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
- mimecastAppKey: API-Anwendungsschlüssel der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
- mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
- mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
- mimecastBaseURL: Basis-URL der regionalen Mimecast-API
Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie der Zugriffsschlüssel und die geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole bezogen werden: Verwaltung | Dienste | API- und Plattformintegrationen.
Die Basis-URL der Mimecast-API für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Ressourcengruppe: Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.
- Funktions-App: Sie müssen über eine Azure-App verfügen, die für diesen Connector registriert ist, um diesen Connector verwenden zu können.
- Anwendungs-ID
- Mandanten-ID
- Client-ID
- Geheimer Clientschlüssel
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit einer Mimecast-API her, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Konfiguration:
SCHRITT 1: Konfigurationsschritte für die Mimecast-API
Wechseln Sie zu Azure-Portal > App-Registrierungen > [Ihre_App] > Zertifikate und Geheimnisse > Neuer geheimer Clientschlüssel, und erstellen Sie einen neuen geheimen Schlüssel. (Speichern Sie den Wert an einem sicheren Ort, da Sie ihn später nicht in der Vorschau anzeigen können.)
SCHRITT 2: Bereitstellen des Mimecast-API-Connectors
WICHTIG: Halten Sie für die Bereitstellung des Mimecast-API-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie den bzw. die Autorisierungsschlüssel oder Token der Mimecast-API bereit.
Bereitstellen des Mimecast Secure Email Gateway-Datenconnectors:
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Füllen Sie die folgenden Felder aus:
- appName: Eindeutige Zeichenfolge, die als ID für die App auf der Azure-Plattform verwendet wird
- objectId: Azure-Portal > Azure Active Directory > weitere Informationen > Profil > Objekt-ID
- appInsightsLocation(default): westeurope
- mimecastEmail: E-Mail-Adresse des dedizierten Benutzenden für diese Integration
- mimecastPassword: Kennwort für den dedizierten Benutzer
- mimecastAppId: Anwendungs-ID aus der bei Mimecast registrierten Microsoft Sentinel-App
- mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
- mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
- mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Benutzer
- mimecastBaseURL: Basis-URL der regionalen Mimecast-API
- activeDirectoryAppId: Azure-Portal > App-Registrierungen > [Ihre_App] > Anwendungs-ID
- activeDirectoryAppSecret: Azure-Portal > App-Registrierungen > [Ihre_App] > Zertifikate und Geheimnisse > [Ihr_App_Geheimnis]
- workspaceId: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Agents > Arbeitsbereichs-ID (oder Sie können „workspaceId“ von oben kopieren)
- workspaceKey: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Agents > Primärschlüssel (oder Sie können „workspaceKey“ von oben kopieren)
- AppInsightsWorkspaceResourceID: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Eigenschaften > Ressourcen-ID
Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema
@Microsoft.KeyVault(SecretUri={Security Identifier})
anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.
Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
Klicken Sie zum Bereitstellen auf Kaufen.
Wechseln Sie zu Azure-Portal ---> Ressourcengruppen ---> [Ihre_Ressourcengruppe] ---> [appName](Typ: Speicherkonto) ---> Speicher-Explorer ---> BLOB-CONTAINER ---> SIEM-Prüfpunkte ---> Hochladen, und erstellen Sie leere Dateien auf Ihrem Computer mit der Bezeichnung „checkpoint.txt“ und „dlp-checkpoint.txt“, und wählen Sie sie zum Hochladen aus (dies geschieht, damit „date_range“ für SIEM-Protokolle in einem konsistenten Zustand gespeichert werden)
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.