次の方法で共有


Microsoft Sentinel 用 Mimecast Intelligence for Microsoft - Microsoft Sentinel (Azure Functions を使用) コネクタ

Mimecast Intelligence for Microsoft 用データ コネクタは、Mimecast の電子メール検査テクノロジからキュレーションされた地域の脅威インテリジェンスと事前に作成されたダッシュボードを提供します。これにより、アナリストは電子メール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間を短縮できます。
必要な Mimecast の製品と機能は次のとおりです。

  • Mimecast Secure Email Gateway
  • Mimecast 脅威インテリジェンス

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Event(ThreatIntelligenceIndicator)
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Mimecast

クエリのサンプル

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

前提条件

Mimecast Intelligence for Microsoft - Microsoft Sentinel (Azure Functions を使用) と統合するには、次があることを確認します。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • Mimecast API 資格情報: 統合を構成するには、次の情報が必要になります。
  • mimecastEmail: 専用 Mimecast 管理者ユーザーのメール アドレス
  • mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
  • mimecastAppId: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション ID
  • mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
  • mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
  • mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
  • mimecastBaseURL: Mimecast リージョン API ベース URL

Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast 管理コンソールの [管理 | サービス | API とプラットフォームの統合] から取得できます。

各リージョンの Mimecast API ベース URL については、こちらのドキュメントを参照してください: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • リソース グループ: 使用するサブスクリプションでリソース グループが作成されている必要があります。
  • Functions アプリ: このコネクタで以下を使用するには、Azure アプリが登録されている必要があります
  1. アプリケーション ID
  2. テナント ID
  3. クライアント ID
  4. Client Secret

ベンダーのインストール手順

Note

このコネクタは Azure Functions を使用して Mimecast API に接続し、そのログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

環境設定:

手順 1 - Mimecast API の構成手順

Azure portal ---> アプリの登録 ---> [your_app] ---> 証明書とシークレット ---> 新しいクライアント シークレットに移動して、新しいシークレットを作成します (値は後でプレビューできないため、すぐに安全な場所に保存してください)

手順 2 - Mimecast API コネクタをデプロイする

重要: Mimecast API コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Mimecast API の認可キーまたはトークンをすぐに使用できるようにしておいてください。

Mimecast Intelligence for Microsoft - Microsoft Sentinel コネクタを有効にします。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. 以下のフィールドに値を入力します:

  • appName: Azure プラットフォームのアプリの ID として使用される一意の文字列
  • objectId: Azure portal ---> Azure Active Directory ---> 詳細情報 ---> プロファイル -----> オブジェクト ID
  • appInsightsLocation (既定値): westeurope
  • mimecastEmail: この統合用の専用ユーザーのメールアドレス
  • mimecastPassword: 専用ユーザーのパスワード
  • mimecastAppId: Mimecast に登録された Microsoft Sentinel アプリのアプリケーション ID
  • mimecastAppKey: Mimecast に登録された Microsoft Sentinel アプリのアプリケーション キー
  • mimecastAccessKey: 専用 Mimecast ユーザーのアクセス キー
  • mimecastSecretKey: 専用 Mimecast ユーザーの秘密鍵
  • mimecastBaseURL: リージョン Mimecast API ベース URL
  • activeDirectoryAppId: Azure portal ---> アプリの登録 ---> [your_app] ---> アプリケーション ID
  • activeDirectoryAppSecret: Azure portal ---> アプリの登録 ---> [your_app] ---> 証明書とシークレット ---> [your_app_secret]
  • workspaceId: Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> エージェント ---> ワークスペース ID (または上記の workspaceId をコピーできます)
  • workspaceKey: Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> エージェント ---> 主キー (または上記の workspaceKey をコピーできます)
  • AppInsightsWorkspaceResourceID : Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> プロパティ ---> リソース ID

注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。

  1. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  2. [購入] をクリックしてデプロイします。

  3. Azure portal ---> リソース グループ ---> [your_resource_group] ---> [appName](種類: ストレージ アカウント) ---> Storage Explorer ---> BLOB コンテナー ---> TIR チェックポイント ---> アップロードに移動して、checkpoint.txt という名前の空のファイルをマシン上に作成し、アップロード用に選択します (これを行うのは、TIR ログの date_range が一貫した状態で保存されるようにするためです)

追加構成:

脅威インテリジェンス プラットフォーム データ コネクタに接続します。 コネクタ ページにある手順に従い、[接続] ボタンをクリックします。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。