Compartilhar via

Mimecast Cloud Integrated (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

O conector de dados para Mimecast Cloud Integrated oferece aos clientes visibilidade dos eventos de segurança relacionados às tecnologias de inspeção Cloud Integrated no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem insights sobre ameaças baseadas em email, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Cloud_Integrated_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Mimecast

Exemplos de consulta

Cloud_Integrated_CL

Cloud_Integrated_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o Mimecast Cloud Integrated (usando o Azure Functions), verifique se você tem:

  • Assinatura do Azure: a assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de contribuidor ao aplicativo no grupo de recursos.
  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da API REST: Consulte a documentação para saber mais sobre a API na referência da API REST

Instruções de instalação do fornecedor

Grupo de recursos

Você precisa ter um grupo de recursos criado com uma assinatura que irá usar.

Aplicativo do Functions

Você precisa ter um Aplicativo do Azure registrado para usar esse conector

  1. ID do Aplicativo
  2. ID do locatário
  3. Id do cliente
  4. Segredo do cliente

Observação

Esse conector usa o Azure Functions para se conectar a uma API do Mimecast para efetuar pull do seus registros para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

Configuração:

ETAPA 1 - Etapas de configuração da API do Mimecast

Acesse o portal do Azure ---> Registros de aplicativo ---> [your_app] ---> Certificados e segredos ---> Novo segredo do cliente e crie um novo segredo (salve o valor em algum lugar seguro imediatamente, pois você não poderá visualizá-lo mais tarde)

ETAPA 2 - Implantar o Conector de API do Mimecast

IMPORTANTE: Antes de implantar o conector da API Mimecast, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados a seguir), bem como as chaves de autorização ou token da API Mimecast, prontamente disponíveis.

Modelo do ARM (Azure Resource Manager)

Use esse método para implantação automatizada do conector de dados Mimecast Cloud Integrated.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Região de sua preferência.

  3. Insira as informações abaixo: ID do workspace Chave do workspace URL base (padrão: https://api.services.mimecast.com) ID do cliente Mimecast Segredo do cliente Mimecast Nível de log (padrão: INFO) Agendar (0 */30 * * * *) ID do recurso do espaço de trabalho do Application Insights

  4. Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.

  5. Clique em Comprar para fazer a implantação.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.