Microsoft Sentinel용 Mimecast 보안 메일 게이트웨이(Azure Functions 사용) 커넥터
Mimecast 보안 메일 게이트웨이용 데이터 커넥터를 사용하면 보안 메일 게이트웨이에서 쉽게 로그 수집하여 Microsoft Sentinel 내에서 메일 인사이트 및 사용자 활동을 파악할 수 있습니다. 데이터 커넥터는 분석가가 메일 기반 위협에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만든 대시보드를 제공합니다. Mimecast 제품 및 기능이 필요합니다.
- Mimecast 보안 메일 게이트웨이
- Mimecast 데이터 누출 방지
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
커넥터 특성 | 설명 |
---|---|
Log Analytics 테이블 | MimecastSIEM_CL MimecastDLP_CL |
데이터 수집 규칙 지원 | 현재 지원되지 않음 |
지원 공급자 | Mimecast |
쿼리 샘플
MimecastSIEM_CL
MimecastSIEM_CL
| sort by TimeGenerated desc
MimecastDLP_CL
MimecastDLP_CL
| sort by TimeGenerated desc
필수 조건
Mimecast 보안 메일 게이트웨이(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- Mimecast API 자격 증명: 통합을 구성하려면 다음 정보가 필요합니다.
- mimecastEmail: 전용 Mimecast 관리 사용자의 메일 주소
- mimecastPassword: 전용 Mimecast 관리 사용자의 암호
- mimecastAppId: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 ID
- mimecastAppKey: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 키
- mimecastAccessKey: 전용 Mimecast 관리 사용자의 액세스 키
- mimecastSecretKey: 전용 Mimecast 관리 사용자의 비밀 키
- mimecastBaseURL: Mimecast 지역 API 기본 URL
전용 Mimecast 관리 사용자의 액세스 키 및 비밀 키와 함께 Mimecast 애플리케이션 ID, 애플리케이션 키는 Mimecast 관리 콘솔을 통해 얻을 수 있습니다. 관리 | 서비스 | API 및 플랫폼 통합.
각 지역에 대한 Mimecast API 기본 URL은 다음과 같습니다. https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- 리소스 그룹: 사용하려는 구독으로 만든 리소스 그룹이 있어야 합니다.
- Functions 앱: 이 커넥터를 사용하려면 Azure 앱을 등록해야 합니다.
- 애플리케이션 ID
- 테넌트 ID
- 클라이언트 ID
- 클라이언트 암호
공급업체 설치 지침
참고 항목
이 커넥터는 Azure Functions를 사용하여 Mimecast API에 연결하여 Microsoft Sentinel로 해당 로그를 풀합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
구성:
1단계 - Mimecast API에 대한 구성 단계
Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 및 비밀 ---> 새 클라이언트 암호로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).
2단계 - Mimecast API 커넥터 배포
중요: Mimecast API 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론, Mimecast API 권한 부여 키도 즉시 사용할 수 있도록 합니다.
Mimecast 보안 메일 게이트웨이 데이터 커넥터를 배포합니다.
- appName: Azure 플랫폼에서 앱의 ID로 사용할 고유 문자열
- objectId: Azure Portal ---> Azure Active Directory ---> 자세한 정보 ---> 프로필 -----> 개체 ID
- appInsightsLocation(기본값): westeurope
- mimecastEmail: 이 통합에 대한 전용 사용자의 메일 주소
- mimecastPassword: 전용 사용자에 대한 암호
- mimecastAppId: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 ID
- mimecastAppKey: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 키
- mimecastAccessKey: 전용 Mimecast 사용자의 액세스 키
- mimecastSecretKey: 전용 Mimecast 사용자의 비밀 키
- mimecastBaseURL: 지역 Mimecast API 기본 URL
- activeDirectoryAppId: Azure Portal ---> 앱 등록 ---> [your_app] ---> 애플리케이션 ID
- activeDirectoryAppSecret: Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 및 비밀 ---> [your_app_secret]
- workspaceId: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 작업 영역 ID(또는 위에서 workspaceId를 복사할 수 있음)
- workspaceKey: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 기본 키(또는 위에서 workspaceKey를 복사할 수 있음)
- AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 속성 ---> 리소스 ID
참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신
@Microsoft.KeyVault(SecretUri={Security Identifier})
스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.
구매를 클릭하여 배포합니다.
Azure Portal ---> 리소스 그룹 ---> [your_resource_group] ---> [appName](유형: 스토리지 계정) ---> Storage Explorer ---> BLOB CONTAINERS ---> SIEM 검사점 ---> 업로드로 이동하여 checkpoint.txt, dlp-checkpoint.txt라는 빈 파일을 머신에 만들고 이를 업로드하도록 선택합니다(SIEM 로그의 date_range가 일관된 상태로 저장되도록 수행).
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.