Conector Auditoria e autenticação Mimecast (usando Azure Functions) para Microsoft Sentinel
O conector de dados para Mimecast Audit & Authentication fornece aos clientes visibilidade de eventos de segurança relacionados a eventos de auditoria e autenticação no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre a atividade do usuário, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados.
Os produtos Mimecast incluídos no conector são: Auditoria e Autenticação
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | MimecastAudit_CL |
Suporte às regras de coleta de dados | Sem suporte no momento |
Com suporte por | Mimecast |
Exemplos de consulta
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com Auditoria e autenticação Mimecast (usando Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais da API Mimecast: você precisa ter as seguintes informações para configurar a integração:
- mimecastEmail: Endereço de email de um usuário administrador dedicado do Mimecast
- mimecastPassword: Senha para o usuário administrador dedicado do Mimecast
- mimecastAppId: ID do Aplicativo da API do aplicativo Microsoft Sentinel do Mimecast registrado com o Mimecast
- mimecastAppKey: Chave de aplicativo da API do Aplicativo Microsoft Sentinel do Mimecast registrado com o Mimecast
- mimecastAccessKey: Chave de acesso para o usuário administrador dedicado do Mimecast
- mimecastSecretKey: Chave Secreta para o usuário administrador dedicado do Mimecast
- mimecastBaseURL: URL Base da API Regional do Mimecast
O ID do Aplicativo do Mimecast, a Chave do Aplicativo, junto com a Chave de Acesso e as Chaves Secretas para o usuário administrador dedicado do Mimecast podem ser obtidos através do Console de Administração do Mimecast: Administração | Serviços | API e Integrações de Plataforma.
A URL Base da API do Mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: É necessário ter um grupo de recursos criado com uma assinatura que você vai usar.
- Aplicativo de funções: Você precisa ter um Aplicativo Azure AD registrado para que esse conector seja usado
- ID do Aplicativo
- ID do locatário
- Id do cliente
- Segredo do cliente
Instruções de instalação do fornecedor
Observação
Esse conector usa o Azure Functions para se conectar a uma API do Mimecast para efetuar pull do seus registros para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Configuração:
ETAPA 1 - Etapas de configuração da API do Mimecast
Acesse o portal do Azure ---> Registros de aplicativo ---> [your_app] ---> Certificados e segredos ---> Novo segredo do cliente e crie um novo segredo (salve o valor em algum lugar seguro imediatamente, pois você não poderá visualizá-lo mais tarde)
ETAPA 2 - Implantar o Conector de API do Mimecast
IMPORTANTE: Antes de implantar o conector da API Mimecast, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados a seguir), bem como as chaves de autorização ou token da API Mimecast, prontamente disponíveis.
Implante o conector de dados de auditoria e autenticação Mimecast:
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira os seguintes campos:
- appName: Cadeia de caracteres exclusiva que será usada como id para o aplicativo na plataforma Azure
- objectId: portal do Azure ---> Azure Active Directory ---> mais informações ---> Perfil -----> ID do Objeto
- appInsightsLocation(default): westeurope
- mimecastEmail: endereço de email do usuário dedicado para essa integração
- mimecastPassword: Senha do usuário dedicado
- mimecastAppId: ID de Aplicativo do aplicativo Microsoft Sentinel registrado com o Mimecast
- mimecastAppKey: chave de aplicativo do aplicativo Microsoft Sentinel registrado no Mimecast
- mimecastAccessKey: Chave de Acesso do usuário dedicado do Mimecast
- mimecastSecretKey: Chave Secreta do usuário dedicado do Mimecast
- mimecastBaseURL: URL Base Regional da API do Mimecast
- activeDirectoryAppId: portal do Azure ---> Registros de aplicativo ---> [your_app] ---> ID do Aplicativo
- activeDirectoryAppSecret: portal do Azure ---> Registros de aplicativo ---> [your_app] ---> Certificados e segredos ---> [your_app_secret]
- workspaceId: portal do Azure ---> Workspaces do Log Analytics ---> [Seu espaço de trabalho] ---> Agentes ---> ID do Espaço de Trabalho (ou você pode copiar a workspaceId acima)
- workspaceKey: portal do Azure ---> Workspaces do Log Analytics ---> [Seu espaço de trabalho] ---> Agentes ---> Chave Primária (ou você pode copiar a workspaceKey acima)
- AppInsightsWorkspaceResourceID: portal do Azure ---> Log Analytics Workspaces ---> [Seu espaço de trabalho] ---> Propriedades ---> ID do recurso
Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o esquema
@Microsoft.KeyVault(SecretUri={Security Identifier})
no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault.
Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.
Clique em Comprar para implantar.
Vá para portal do Azure ---> Grupos de recursos ---> [your_resource_group] ---> [appName](tipo: conta de armazenamento) ---> Storage Explorer ---> BLOB CONTAINERS ---> Pontos de verificação de auditoria ---> Carregar e crie um arquivo vazio em sua máquina chamado checkpoint.txt e selecione-o para fazer upload (isso é feito para que o intervalo de datas dos logs SIEM seja armazenado em estado consistente)
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.