Delen via

Mimecast Targeted Threat Protection-connector (met behulp van Azure Functions) voor Microsoft Sentinel

  • Artikel

De gegevensconnector voor Mimecast Targeted Threat Protection biedt klanten inzicht in beveiligingsgebeurtenissen met betrekking tot de Targeted Threat Protection-inspectietechnologieën in Microsoft Sentinel. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in bedreigingen op basis van e-mail, hulp bij incidentcorrelatie en het verminderen van reactietijden voor onderzoek in combinatie met aangepaste waarschuwingsmogelijkheden.
De Mimecast-producten die zijn opgenomen in de connector zijn:

  • URL beveiligen
  • Imitatie beveiligen
  • Bijlage beveiligen

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Connectorkenmerken

Kenmerk connector Beschrijving
Log Analytics-tabellen MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Mimecast

Voorbeelden van query's

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met Mimecast Targeted Threat Protection (met behulp van Azure Functions), moet u ervoor zorgen dat u het volgende hebt:

  • Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
  • REST API-referenties/machtigingen: u moet over de volgende gegevens beschikken om de integratie te configureren:
  • mimecastEmail: e-mailadres van een toegewezen Mimecast-beheerdergebruiker
  • mimecastPassword: wachtwoord voor de toegewezen Mimecast-beheerder
  • mimecastAppId: API-toepassings-id van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
  • mimecastAppKey: API-toepassingssleutel van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
  • mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-beheerdergebruiker
  • mimecastSecretKey: Geheime sleutel voor de toegewezen Mimecast-beheerdergebruiker
  • mimecastBaseURL: Basis-URL mimecast regionale API

De Mimecast-toepassings-id, de toepassingssleutel, samen met de toegangssleutel en geheime sleutels voor de toegewezen Mimecast-beheerdergebruiker, kunnen worden verkregen via de Mimecast-beheerconsole: Beheer | Services | API- en platformintegraties.

De Mimecast-API-basis-URL voor elke regio wordt hier beschreven: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Installatie-instructies van leverancier

Resourcegroep

U moet een resourcegroep hebben gemaakt met een abonnement dat u gaat gebruiken.

Functions-app

U moet een Azure-app geregistreerd voor deze connector om deze connector te kunnen gebruiken

  1. Application Id
  2. Tenant-id
  3. Client-id
  4. Clientgeheim

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

Configuration:

STAP 1: configuratiestappen voor de Mimecast-API

Ga naar Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten en geheimen ---> Nieuw clientgeheim en maak een nieuw geheim (sla de waarde direct veilig op omdat u deze later niet meer kunt bekijken)

STAP 2: Mimecast-API-connector implementeren

BELANGRIJK: Voordat u de Mimecast-API-connector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit het volgende), evenals de Mimecast-API-autorisatiesleutel(s) of token, direct beschikbaar.

Implementeer de Mimecast Targeted Threat Protection-gegevensconnector:

  1. Klik op de knop Implementeren in Azure hieronder.

    Implementeren in Azure

  2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

  3. Voer de volgende velden in:

  • appName: unieke tekenreeks die wordt gebruikt als id voor de app in het Azure-platform
  • objectId: Azure Portal ---> Azure Active Directory ---> meer informatie ---> Profile -----> Object ID
  • appInsightsLocation(standaard): westeurope
  • mimecastEmail: e-mailadres van toegewezen gebruiker voor deze integratie
  • mimecastPassword: Wachtwoord voor toegewezen gebruiker
  • mimecastAppId: toepassings-id van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
  • mimecastAppKey: Toepassingssleutel van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
  • mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-gebruiker
  • mimecastSecretKey: Geheime sleutel voor toegewezen Mimecast-gebruiker
  • mimecastBaseURL: Basis-URL van regionale Mimecast-API
  • activeDirectoryAppId: Azure Portal ---> App-registraties ---> [your_app] ---> toepassings-id
  • activeDirectoryAppSecret: Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten en geheimen ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> werkruimte-id (of u kunt workspaceId van hierboven kopiëren)
  • workspaceKey: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> Agents ---> primaire sleutel (of u kunt werkruimtesleutel van bovenaf kopiëren)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> eigenschappen --- resource-id>

Opmerking: Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie.

  1. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.

  2. Klik op Kopen om te implementeren.

  3. Ga naar Azure Portal ---> Resourcegroepen ---> [your_resource_group] ---> [appName](type: Opslagaccount) ---> Storage Explorer ---> BLOBCONTAINERs ---> TTP-controlepunten ---> Lege bestanden uploaden en maken op uw computer met de naam attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt en selecteer ze voor uploaden (dit gebeurt zodat date_range voor TTP-logboeken consistent worden opgeslagen)

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.