Łącznik Mimecast Secure Email Gateway (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych dla usługi Mimecast Secure Email Gateway umożliwia łatwe zbieranie dzienników z bramy bezpiecznej poczty e-mail w celu uzyskania szczegółowych informacji o wiadomościach e-mail i aktywności użytkownika w usłudze Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji o zagrożeniach opartych na wiadomościach e-mail, pomoc w korelacji zdarzeń i skrócenie czasów reagowania na badanie w połączeniu z niestandardowymi funkcjami alertów. Wymagane produkty i funkcje mimecast:
- Brama bezpiecznej poczty e-mail mimecast
- Zapobieganie wyciekom danych mimecast
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Tabele usługi Log Analytics | MimecastSIEM_CL MimecastDLP_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Mimecast |
Przykłady zapytań
MimecastSIEM_CL
MimecastSIEM_CL
| sort by TimeGenerated desc
MimecastDLP_CL
MimecastDLP_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować z usługą Mimecast Secure Email Gateway (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
- mimecastEmail: adres e-mail dedykowanego użytkownika administratora mimecast
- mimecastPassword: hasło dedykowanego użytkownika administratora mimecast
- mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
- mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora mimecast
- mimecastBaseURL: adres URL bazy interfejsu API regionalnego mimecast
Identyfikator aplikacji mimecast, klucz aplikacji wraz z kluczem dostępu i kluczem tajnym dla dedykowanego użytkownika administratora mimecast można uzyskać za pośrednictwem konsoli mimecast Administration Console: Administracja | Usługi | Integracje interfejsów API i platform.
Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupa zasobów: musisz mieć grupę zasobów utworzoną przy użyciu subskrypcji, której zamierzasz użyć.
- Aplikacja usługi Functions: aby używać tego łącznika, musisz zarejestrować aplikacja systemu Azure
- Identyfikator aplikacji
- Identyfikator dzierżawcy
- Identyfikator klienta
- Klucz tajny klienta
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Konfiguracja:
KROK 1 . Kroki konfiguracji interfejsu API mimecast
Przejdź do witryny Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> Nowy wpis tajny klienta i utwórz nowy wpis tajny (zapisz wartość gdzieś bezpiecznie od razu, ponieważ nie będzie można wyświetlić podglądu później)
KROK 2. Wdrażanie łącznika interfejsu API mimecast
WAŻNE: Przed wdrożeniem łącznika interfejsu API mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także klucze autoryzacji interfejsu API mimecast lub token, łatwo dostępne.
Wdróż łącznik danych usługi Mimecast Secure Email Gateway:
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź następujące pola:
- appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
- objectId: Azure Portal ---> Azure Active Directory ---> więcej informacji ---> profil -----> identyfikator obiektu
- appInsightsLocation(ustawienie domyślne): westeurope
- mimecastEmail: adres e-mail dedykowanego użytkownika na potrzeby tej integracji
- mimecastPassword: hasło dla dedykowanego użytkownika
- mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAccessKey: klucz dostępu dedykowanego użytkownika mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
- mimecastBaseURL: regionalny adres URL podstawowy interfejsu API mimecast
- activeDirectoryAppId: identyfikator aplikacji --- witryny Azure Portal Rejestracje aplikacji --->> [your_app] --->
- activeDirectoryAppSecret: witryna Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> [your_app_secret]
- workspaceId: identyfikator obszaru roboczego usługi Log Analytics ---> witryny Azure Portal ---> [Obszar roboczy] ---> Agenci ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z powyższego)
- workspaceKey: witryna Azure Portal ---> obszarów roboczych usługi Log Analytics ---> [Obszar roboczy] ---> Agenci ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
- AppInsightsWorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics --- [Obszar roboczy] --->> właściwości ---> identyfikator zasobu
Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj
@Microsoft.KeyVault(SecretUri={Security Identifier})
schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Przejdź do witryny Azure Portal ---> grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> kontenerów obiektów blob ---> punktów kontrolnych SIEM ---> przekazywanie i tworzenie pustego pliku na maszynie o nazwie checkpoint.txt, dlp-checkpoint.txt i wybranie go do przekazania (odbywa się to tak, aby date_range dla dzienników SIEM jest przechowywany w spójnym stanie)
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.