Conector Mimecast Audit (usando o Azure Functions) para Microsoft Sentinel
O conector de dados para Mimecast Audit fornece aos clientes a visibilidade de eventos de segurança relacionados a eventos de auditoria e autenticação no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem informações sobre a atividade do usuário, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados.
Os produtos Mimecast incluídos no conector são: Auditoria
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | MimecastAudit_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Mimecast |
Exemplos de consulta
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Mimecast Audit (usando o Azure Functions), verifique se você tem:
- Assinatura do Azure: a Assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões da API REST: consulte a documentação para saber mais sobre a API na referência da API REST
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar a uma API Mimecast para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
Configuração:
PASSO 1 - Passos de configuração para a API Mimecast
Vá para o portal do Azure ---> Registros de aplicativos ---> [your_app] ---> Certificados & segredos ---> Novo segredo do cliente e crie um novo segredo (salve o Valor em algum lugar seguro imediatamente, porque você não poderá visualizá-lo mais tarde)
ETAPA 2 - Implantar o Mimecast API Connector
IMPORTANTE: Antes de implantar o conector da API do Mimecast, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados do seguinte), bem como a(s) chave(s) de autorização ou token da API do Mimecast, prontamente disponíveis.
Implante o Mimecast Audit Data Connector:
Use este método para a implantação automatizada do conector Mimecast Audit Data.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e a Região preferidos.
Insira as informações abaixo: ID do espaço de trabalho URL base da chave do espaço de trabalho (padrão: https://api.services.mimecast.com) Data de início ID do cliente Mimecast Nível de log secreto do cliente Mimecast (padrão: INFO) Cronograma (0 0 */1 * * *) ID do recurso do espaço de trabalho do App Insights
Marque a caixa de seleção Concordo com os termos e condições mencionados acima.
Clique em Comprar para implantar.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.