Udostępnij za pośrednictwem

Łącznik Mimecast Targeted Threat Protection (przy użyciu usługi Azure Functions) dla Microsoft Sentinel

  • Artykuł

Łącznik danych programu Mimecast Targeted Threat Protection zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji ukierunkowanej ochrony przed zagrożeniami w usłudze Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji o zagrożeniach opartych na wiadomościach e-mail, pomoc w korelacji zdarzeń i skrócenie czasów reagowania na badanie w połączeniu z niestandardowymi funkcjami alertów.
Produkty Mimecast zawarte w łączniku to:

  • Ochrona adresu URL
  • Ochrona przed Podszywaniem się
  • Ochrona załączników

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Obsługa reguł zbierania danych Obecnie nie jest obsługiwane
Obsługiwane przez Mimecast

Przykłady zapytań

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację Mimecast Targeted Threat Protection (przy użyciu usługi Azure Functions), upewnij się, że:

  • Uprawnienia Microsoft.Web/sites: Wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions, aby utworzyć Function App. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: adres e-mail dedykowanego użytkownika administratora mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora mimecast
  • mimecastAppId: Identyfikator aplikacji API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w platformie Mimecast
  • mimecastAppKey: klucz aplikacji API aplikacji Mimecast Microsoft Sentinel zarejestrowana w Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora mimecast
  • mimecastBaseURL: adres URL bazy interfejsu API regionalnego mimecast

Identyfikator aplikacji mimecast, klucz aplikacji wraz z kluczem dostępu i kluczem tajnym dla dedykowanego użytkownika administratora mimecast można uzyskać za pośrednictwem konsoli mimecast Administration Console: Administracja | Usługi | Integracje interfejsów API i platform.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Instrukcje instalacji dostawcy

Grupa zasobów

Musisz mieć utworzoną grupę zasobów z subskrypcją, której zamierzasz użyć.

Aplikacja Functions

Aby używać tego łącznika, musisz mieć zarejestrowaną aplikację w Azure

  1. Identyfikator aplikacji
  2. Identyfikator dzierżawcy
  3. Identyfikator klienta
  4. Klucz tajny klienta

Uwaga

Ten łącznik używa usługi Azure Functions do połączenia z interfejsem API Mimecast w celu pobierania dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Konfiguracja:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do portalu Azure --- Rejestracje aplikacji ---> [your_app] ---> Certyfikaty i sekrety ---> Nowy sekret klienta i utwórz nowy sekret (natychmiast zapisz wartość w bezpiecznym miejscu, ponieważ później nie będziesz mógł jej zobaczyć)

KROK 2. Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika API Mimecast należy mieć łatwo dostępny identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można je skopiować z poniższych elementów), a także klucze autoryzacji API Mimecast lub token.

Wdróż łącznik danych Mimecast Targeted Threat Protection:

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> więcej informacji ---> profil -----> identyfikator obiektu
  • appInsightsLocation(ustawienie domyślne): westeurope
  • mimecastEmail: adres e-mail dedykowanego użytkownika na potrzeby tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL podstawowy interfejsu API mimecast
  • activeDirectoryAppId: identyfikator aplikacji --- w portalu Azure ---> Rejestracje aplikacji ---> [your_app] ---> ID aplikacji
  • activeDirectoryAppSecret: portal Azure --- Rejestracje aplikacji ---> [your_app] ---> Certyfikaty i tajne ---> [your_app_secret]
  • workspaceId: Obszary robocze usługi Log Analytics ---> portal Azure ---> [Obszar roboczy] ---> Agenci ---> Identyfikator obszaru roboczego (lub możesz skopiować identyfikator z powyższego)
  • workspaceKey: Azure portal ---> Obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> Agenci ---> Klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • AppInsightsWorkspaceResourceID: Portal Azure ---> Obszary robocze usługi Log Analytics ---> [Twój obszar roboczy] ---> Właściwości ---> Identyfikator zasobu

Uwaga: jeśli używasz tajnych informacji Azure Key Vault dla dowolnej z powyższych wartości, użyj @Microsoft.KeyVault(SecretUri={Security Identifier}) schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.

  1. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do Azure portal ---> Grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) ---> Eksplorator usługi Storage ---> kontenerów obiektów blob ---> punktów kontrolnych TTP ---> Prześlij i utwórz puste pliki na komputerze o nazwach attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt i wybierz je do przesłania (jest to zrobione, aby date_range dla dzienników TTP były przechowywane w spójnym stanie)

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.