Udostępnij za pośrednictwem

Mimecast Intelligence dla firmy Microsoft — łącznik usługi Microsoft Sentinel (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych Mimecast Intelligence dla Microsoftu zapewnia regionalną analizę zagrożeń, wykorzystując technologie inspekcji poczty e-mail Mimecast. Zawiera wstępnie utworzone pulpity nawigacyjne, które umożliwiają analitykom przeglądanie wglądu w zagrożenia związane z wiadomościami e-mail, wspomagają korelację incydentów i skracają czas odpowiedzi w ramach dochodzeń.
Wymagane produkty i funkcje mimecast:

  • Brama bezpiecznej poczty e-mail mimecast
  • Mimecast Informacje o Zagrożeniach

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics Zdarzenie(ThreatIntelligenceIndicator)
Obsługa reguł zbierania danych Obecnie nie jest obsługiwane
Obsługiwane przez Mimecast

Przykłady zapytań

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację Mimecast Intelligence dla firmy Microsoft — Microsoft Sentinel (przy użyciu usługi Azure Functions), upewnij się, że:

  • Uprawnienia Microsoft.Web/sites: Wymagane są uprawnienia do odczytu i zapisu w Azure Functions w celu utworzenia aplikacji funkcji (Function App). Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia interfejsu API Mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: adres e-mail dedykowanego użytkownika administratora mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora mimecast
  • mimecastAppId: identyfikator aplikacji API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w Mimecast
  • mimecastAppKey: Klucz aplikacyjny interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora mimecast
  • mimecastBaseURL: Regionalny bazowy adres URL API Mimecast

Identyfikator aplikacji mimecast, klucz aplikacji wraz z kluczem dostępu i kluczem tajnym dla dedykowanego użytkownika administratora mimecast można uzyskać za pośrednictwem konsoli mimecast Administration Console: Administracja | Usługi | Integracje interfejsów API i platform.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupa zasobów: musisz mieć grupę zasobów utworzoną przy użyciu subskrypcji, której zamierzasz użyć.
  • Aplikacja usługi Functions: do używania tego łącznika musisz mieć zarejestrowaną aplikację Azure.
  1. Identyfikator aplikacji
  2. Identyfikator dzierżawcy
  3. Identyfikator klienta
  4. Tajemnica klienta

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API Mimecast w celu pobrania dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Konfiguracja:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do Azure Portal --- Rejestracje aplikacji ---> [your_app] ---> Certyfikaty i sekrety ---> Nowy sekrety klienta i utwórz nowy sekrety. Zapisz wartość od razu gdzieś bezpiecznie, ponieważ później nie będzie można jej podglądać.

KROK 2. Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy mieć dostępny identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można je skopiować z poniższych elementów), a także klucze autoryzacji interfejsu API Mimecast lub token.

Włącz rozwiązanie Mimecast Intelligence dla Microsoft — Łącznik Microsoft Sentinel:

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> więcej informacji ---> profil -----> identyfikator obiektu
  • appInsightsLocation(ustawienie domyślne): westeurope
  • mimecastEmail: adres e-mail dedykowanego użytkownika na potrzeby tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL podstawowy interfejsu API mimecast
  • activeDirectoryAppId: portal Azure ---> Rejestracje aplikacji ---> [your_app] ---> Identyfikator aplikacji
  • activeDirectoryAppSecret: Azure Portal --- Rejestracje aplikacji ---> [your_app] ---> Certyfikaty i sekrety ---> [your_app_secret]
  • workspaceId: Obszary robocze Log Analytics ---> Azure portal ---> [Obszar roboczy] ---> Agenci ---> Identyfikator obszaru roboczego (lub możesz skopiować workspaceId z powyższego)
  • workspaceKey: portal Azure ---> Obszary robocze Log Analytics ---> [Twój obszar roboczy] ---> Agenci ---> Klucz Podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> Obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> Właściwości ---> Identyfikator zasobu

Uwaga: jeśli korzystasz z tajemnic usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj @Microsoft.KeyVault(SecretUri={Security Identifier}) schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.

  1. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do portalu Azure ---> grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) ---> Eksplorator magazynu ---> kontenerów obiektów blob ---> punktów kontrolnych TIR ---> przekaż i utwórz pusty plik na swoim komputerze o nazwie checkpoint.txt i wybierz go do przekazania (w tym celu zakres_dat dla dzienników TIR jest przechowywany w spójnym stanie)

Dodatkowa konfiguracja:

Połącz się z Łącznikiem Danych Platformy Analizy Zagrożeń. Postępuj zgodnie z instrukcjami na stronie łącznika, a następnie kliknij przycisk Połącz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.