Mimecast Intelligence dla firmy Microsoft — łącznik usługi Microsoft Sentinel (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych dla analizy mimecast intelligence dla firmy Microsoft zapewnia regionalną analizę zagrożeń wyselekcjonowanych z technologii inspekcji poczty e-mail programu Mimecast ze wstępnie utworzonymi pulpitami nawigacyjnymi, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji zdarzeń i skrócenie czasów reagowania na badanie.
Wymagane produkty i funkcje mimecast:
- Brama bezpiecznej poczty e-mail mimecast
- Mimecast Threat Intelligence
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
atrybut Połączenie or | opis |
---|---|
Tabele usługi Log Analytics | Event(ThreatIntelligenceIndicator) |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Mimecast |
Przykłady zapytań
ThreatIntelligenceIndicator
ThreatIntelligenceIndicator
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Mimecast Intelligence dla firmy Microsoft — Microsoft Sentinel (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
- mimecastEmail: adres e-mail dedykowanego użytkownika administratora mimecast
- mimecastPassword: hasło dedykowanego użytkownika administratora mimecast
- mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
- mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora mimecast
- mimecastBaseURL: adres URL bazy interfejsu API regionalnego mimecast
Identyfikator aplikacji mimecast, klucz aplikacji wraz z kluczem dostępu i kluczem tajnym dla dedykowanego użytkownika administratora mimecast można uzyskać za pośrednictwem konsoli mimecast Administracja istration: Administracja istration | Usługi | Integracje interfejsów API i platform.
Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupa zasobów: musisz mieć grupę zasobów utworzoną przy użyciu subskrypcji, której zamierzasz użyć.
- Aplikacja usługi Functions: aby używać tego łącznika, musisz zarejestrować aplikacja systemu Azure
- Identyfikator aplikacji
- Identyfikator dzierżawcy
- Identyfikator klienta
- Klucz tajny klienta
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Konfiguracja:
KROK 1 . Kroki konfiguracji interfejsu API mimecast
Przejdź do witryny Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> Nowy wpis tajny klienta i utwórz nowy wpis tajny (zapisz wartość gdzieś bezpiecznie od razu, ponieważ nie będzie można wyświetlić podglądu później)
KROK 2. Wdrażanie Połączenie or interfejsu API mimecast
WAŻNE: Przed wdrożeniem łącznika interfejsu API mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także klucze autoryzacji interfejsu API mimecast lub token, łatwo dostępne.
Włącz analizę mimecast dla firmy Microsoft — Microsoft Sentinel Połączenie or:
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź następujące pola:
- appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
- objectId: Azure Portal ---> Azure Active Directory ---> więcej informacji ---> profil -----> identyfikator obiektu
- app Szczegółowe informacje Location(ustawienie domyślne): westeurope
- mimecastEmail: adres e-mail dedykowanego użytkownika dla tej integracji
- mimecastPassword: hasło dla dedykowanego użytkownika
- mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAccessKey: klucz dostępu dedykowanego użytkownika mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
- mimecastBaseURL: regionalny adres URL podstawowy interfejsu API mimecast
- activeDirectoryAppId: identyfikator aplikacji --- witryny Azure Portal Rejestracje aplikacji --->> [your_app] --->
- activeDirectoryAppSecret: witryna Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> [your_app_secret]
- workspaceId: identyfikator obszaru roboczego usługi Log Analytics ---> witryny Azure Portal ---> [Obszar roboczy] ---> Agenci ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z powyższego)
- workspaceKey: witryna Azure Portal ---> obszarów roboczych usługi Log Analytics ---> [Obszar roboczy] ---> Agenci ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
- App Szczegółowe informacje WorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics --- [Obszar roboczy] --->> właściwości ---> identyfikator zasobu
Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj
@Microsoft.KeyVault(SecretUri={Security Identifier})
schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Przejdź do witryny Azure Portal ---> grupy zasobów ---> [your_resource_group] ---> [appName](wpisz: konto magazynu) --- Eksplorator usługi Storage --->> kontenerów obiektów blob ---> punktów kontrolnych TIR ---> przekazać i utworzyć pusty plik na maszynie o nazwie checkpoint.txt i wybrać go do przekazania (w tym celu date_range dzienników TIR jest przechowywany w spójnym stanie)
Dodatkowa konfiguracja:
Połączenie do Połączenie or danych platform analizy zagrożeń. Postępuj zgodnie z instrukcjami na stronie łącznika, a następnie kliknij przycisk Połącz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.