Connector „Mimecast Targeted Threat Protection“ (mit Azure Functions) für Microsoft Sentinel
Der Datenconnector für Mimecast Targeted Threat Protection bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien in Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind:
- URL Protect
- Impersonation Protect
- Attachment Protect
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | MimecastTTPUrl_CL MimecastTTPAttachment_CL MimecastTTPImpersonation_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Mimecast |
Abfragebeispiele
MimecastTTPUrl_CL
MimecastTTPUrl_CL
| sort by TimeGenerated desc
MimecastTTPAttachment_CL
MimecastTTPAttachment_CL
| sort by TimeGenerated desc
MimecastTTPImpersonation_CL
MimecastTTPImpersonation_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Mimecast Targeted Threat Protection (mit Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- REST-API-Anmeldeinformationen/-Berechtigungen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
- mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
- mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
- mimecastAppId: API-Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
- mimecastAppKey: API-Anwendungsschlüssel der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
- mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
- mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
- mimecastBaseURL: Basis-URL der regionalen Mimecast-API
Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie der Zugriffsschlüssel und die geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole bezogen werden: Verwaltung | Dienste | API- und Plattformintegrationen.
Die Basis-URL der Mimecast-API für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
Installationsanweisungen des Anbieters
Resource group
Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.
Functions-App
Sie müssen über eine Azure-App verfügen, die für diesen Connector registriert ist, um diesen Connector verwenden zu können.
- Anwendungs-ID
- Mandanten-ID
- Client-ID
- Geheimer Clientschlüssel
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit einer Mimecast-API her, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Konfiguration:
SCHRITT 1: Konfigurationsschritte für die Mimecast-API
Wechseln Sie zu Azure-Portal > App-Registrierungen > [Ihre_App] > Zertifikate und Geheimnisse > Neuer geheimer Clientschlüssel, und erstellen Sie einen neuen geheimen Schlüssel. (Speichern Sie den Wert an einem sicheren Ort, da Sie ihn später nicht in der Vorschau anzeigen können.)
SCHRITT 2: Bereitstellen des Mimecast-API-Connectors
WICHTIG: Halten Sie für die Bereitstellung des Mimecast-API-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie den bzw. die Autorisierungsschlüssel oder Token der Mimecast-API bereit.
Bereitstellen des Datenconnectors „Mimecast Targeted Threat Protection“:
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Füllen Sie die folgenden Felder aus:
- appName: Eindeutige Zeichenfolge, die als ID für die App auf der Azure-Plattform verwendet wird
- objectId: Azure-Portal > Azure Active Directory > weitere Informationen > Profil > Objekt-ID
- appInsightsLocation(default): westeurope
- mimecastEmail: E-Mail-Adresse des dedizierten Benutzenden für diese Integration
- mimecastPassword: Kennwort für den dedizierten Benutzer
- mimecastAppId: Anwendungs-ID aus der bei Mimecast registrierten Microsoft Sentinel-App
- mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
- mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
- mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Benutzer
- mimecastBaseURL: Basis-URL der regionalen Mimecast-API
- activeDirectoryAppId: Azure-Portal > App-Registrierungen > [Ihre_App] > Anwendungs-ID
- activeDirectoryAppSecret: Azure-Portal > App-Registrierungen > [Ihre_App] > Zertifikate und Geheimnisse > [Ihr_App_Geheimnis]
- workspaceId: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Agents > Arbeitsbereichs-ID (oder Sie können „workspaceId“ von oben kopieren)
- workspaceKey: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Agents > Primärschlüssel (oder Sie können „workspaceKey“ von oben kopieren)
- AppInsightsWorkspaceResourceID: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Eigenschaften > Ressourcen-ID
Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema
@Microsoft.KeyVault(SecretUri={Security Identifier})
anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.
Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
Klicken Sie zum Bereitstellen auf Kaufen.
Wechseln Sie zu Azure-Portal ---> Ressourcengruppen ---> [Ihre_Ressourcengruppe] ---> [appName](Typ: Speicherkonto) ---> Speicher-Explorer ---> BLOB-CONTAINER ---> TTP-Prüfpunkte ---> Hochladen, und erstellen Sie leere Dateien auf Ihrem Computer namens „attachment-checkpoint.txt“, „impersonation-checkpoint.txt“, „url-checkpoint.txt“, und wählen Sie sie zum Hochladen aus (dies geschieht, damit „date_range“ für TTP-Protokolle in einem konsistenten Zustand gespeichert werden)
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.