Microsoft Sentinel 用 Mimecast Secure Email Gateway (Azure Functions を使用) コネクタ
Mimecast Secure Email Gateway 用のデータ コネクタを使用すると、Secure Email Gateway から簡単にログを収集して、Microsoft Sentinel 内でメールの分析情報とユーザー アクティビティを表示できます。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してメール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。 Mimecast の製品と機能が必要です。
- Mimecast Secure Email Gateway
- Mimecast Data Leak Prevention
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | MimecastSIEM_CL MimecastDLP_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Mimecast |
クエリのサンプル
MimecastSIEM_CL
MimecastSIEM_CL
| sort by TimeGenerated desc
MimecastDLP_CL
MimecastDLP_CL
| sort by TimeGenerated desc
前提条件
Mimecast Secure Email Gateway と (Azure Functions を使用して) 統合するには、次のものがあることを確認してください。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Mimecast API 資格情報: 統合を構成するには、次の情報が必要になります。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのメール アドレス
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast リージョン API ベース URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast 管理コンソールの [Administration | Services | API and Platform Integrations]: (管理 | サービス | API とプラットフォームの統合) から取得できます。
各リージョンの Mimecast API ベース URL については、こちらのドキュメントを参照してください: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- リソース グループ: 使用するサブスクリプションでリソース グループを作成する必要があります。
- 関数アプリ: このコネクタで以下を使用するには、Azure アプリが登録されている必要があります
- アプリケーション ID
- テナント ID
- クライアント ID
- Client Secret
ベンダーのインストール手順
Note
このコネクタは Azure Functions を使用して Mimecast API に接続し、そのログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
環境設定:
手順 1 - Mimecast API の構成手順
Azure portal ---> アプリの登録 ---> [your_app] ---> 証明書とシークレット ---> 新しいクライアント シークレット に移動して、新しいシークレットを作成します (値は後でプレビューできないため、すぐに安全な場所に保存してください)
手順 2 - Mimecast API コネクタをデプロイする
重要: Mimecast API コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Mimecast API の認可キーまたはトークンをすぐに使用できるようにしておいてください。
Mimecast Secure Email Gateway データ コネクタをデプロイします。
- appName: Azure プラットフォームのアプリの ID として使用される一意の文字列
- objectId: Azure portal ---> Azure Active Directory ---> 詳細情報 ---> プロファイル -----> オブジェクト ID
- appInsightsLocation (既定値): westeurope
- mimecastEmail: この統合用の専用ユーザーのメール アドレス
- mimecastPassword: 専用ユーザーのパスワード
- mimecastAppId: Mimecast に登録された Microsoft Sentinel アプリのアプリケーション ID
- mimecastAppKey: Mimecast に登録された Microsoft Sentinel アプリのアプリケーション キー
- mimecastAccessKey: 専用 Mimecast ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast ユーザーの秘密鍵
- mimecastBaseURL: リージョン Mimecast API ベース URL
- activeDirectoryAppId: Azure portal ---> アプリの登録 ---> [your_app] ---> アプリケーション ID
- activeDirectoryAppSecret: Azure portal ---> アプリの登録 ---> [your_app] ---> 証明書とシークレット ---> [your_app_secret]
- workspaceId: Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> エージェント ---> ワークスペース ID (または上記の workspaceId をコピーできます)
- workspaceKey: Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> エージェント ---> 主キー (または上記の workspaceKey をコピーできます)
- AppInsightsWorkspaceResourceID : Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> プロパティ ---> リソース ID
注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})
スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。
[上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
Azure portal ---> リソース グループ ---> [your_resource_group] ---> [appName](種類: ストレージ アカウント) ---> Storage Explorer ---> BLOB コンテナー ---> SIEM チェックポイント ---> アップロードに移動して、checkpoint.txt、dlp-checkpoint.txt という名前の空のファイルをマシン上に作成し、アップロード用に選択します (これを行うのは、SIEM ログの date_range が一貫した状態で保存されるようにするためです)
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。