Łącznik Mimecast Targeted Threat Protection (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych programu Mimecast Targeted Threat Protection zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji ukierunkowanej ochrony przed zagrożeniami w usłudze Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji o zagrożeniach opartych na wiadomościach e-mail, pomoc w korelacji zdarzeń i skrócenie czasów reagowania na badanie w połączeniu z niestandardowymi funkcjami alertów.
Produkty Mimecast zawarte w łączniku to:
- Ochrona adresu URL
- Personifikacja Chroń
- Ochrona załączników
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Tabele usługi Log Analytics | MimecastTTPUrl_CL MimecastTTPAttachment_CL MimecastTTPImpersonation_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Mimecast |
Przykłady zapytań
MimecastTTPUrl_CL
MimecastTTPUrl_CL
| sort by TimeGenerated desc
MimecastTTPAttachment_CL
MimecastTTPAttachment_CL
| sort by TimeGenerated desc
MimecastTTPImpersonation_CL
MimecastTTPImpersonation_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Mimecast Targeted Threat Protection (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: aby skonfigurować integrację, musisz mieć następujące informacje:
- mimecastEmail: adres e-mail dedykowanego użytkownika administratora mimecast
- mimecastPassword: hasło dedykowanego użytkownika administratora mimecast
- mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
- mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora mimecast
- mimecastBaseURL: adres URL bazy interfejsu API regionalnego mimecast
Identyfikator aplikacji mimecast, klucz aplikacji wraz z kluczem dostępu i kluczem tajnym dla dedykowanego użytkownika administratora mimecast można uzyskać za pośrednictwem konsoli mimecast Administration Console: Administracja | Usługi | Integracje interfejsów API i platform.
Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
Instrukcje instalacji dostawcy
Grupa zasobów
Musisz mieć utworzoną grupę zasobów z subskrypcją, której zamierzasz użyć.
Aplikacja usługi Functions
Aby używać tego łącznika, musisz zarejestrować aplikacja systemu Azure
- Identyfikator aplikacji
- Identyfikator dzierżawcy
- Identyfikator klienta
- Klucz tajny klienta
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Konfiguracja:
KROK 1 . Kroki konfiguracji interfejsu API mimecast
Przejdź do witryny Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> Nowy wpis tajny klienta i utwórz nowy wpis tajny (zapisz wartość gdzieś bezpiecznie od razu, ponieważ nie będzie można wyświetlić podglądu później)
KROK 2. Wdrażanie łącznika interfejsu API mimecast
WAŻNE: Przed wdrożeniem łącznika interfejsu API mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także klucze autoryzacji interfejsu API mimecast lub token, łatwo dostępne.
Wdróż łącznik danych mimecast Targeted Threat Protection:
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź następujące pola:
- appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
- objectId: Azure Portal ---> Azure Active Directory ---> więcej informacji ---> profil -----> identyfikator obiektu
- appInsightsLocation(ustawienie domyślne): westeurope
- mimecastEmail: adres e-mail dedykowanego użytkownika na potrzeby tej integracji
- mimecastPassword: hasło dla dedykowanego użytkownika
- mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAccessKey: klucz dostępu dedykowanego użytkownika mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
- mimecastBaseURL: regionalny adres URL podstawowy interfejsu API mimecast
- activeDirectoryAppId: identyfikator aplikacji --- witryny Azure Portal Rejestracje aplikacji --->> [your_app] --->
- activeDirectoryAppSecret: witryna Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> [your_app_secret]
- workspaceId: identyfikator obszaru roboczego usługi Log Analytics ---> witryny Azure Portal ---> [Obszar roboczy] ---> Agenci ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z powyższego)
- workspaceKey: witryna Azure Portal ---> obszarów roboczych usługi Log Analytics ---> [Obszar roboczy] ---> Agenci ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
- AppInsightsWorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics --- [Obszar roboczy] --->> właściwości ---> identyfikator zasobu
Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj
@Microsoft.KeyVault(SecretUri={Security Identifier})
schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Przejdź do witryny Azure Portal ---> grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> kontenerów obiektów blob ---> punktów kontrolnych TTP ---> przekazywanie i tworzenie pustych plików na maszynie o nazwie attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt i wybranie ich do przekazania (jest to zrobione, aby date_range dzienników TTP są wykonywane przechowywane w stanie spójnym)
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.