Mimecast Intelligence for Microsoft - Conector Microsoft Sentinel (usando o Azure Functions) para Microsoft Sentinel
O conector de dados para o Mimecast Intelligence for Microsoft fornece inteligência de ameaças regionais selecionada a partir das tecnologias de inspeção de e-mail do Mimecast com painéis pré-criados para permitir que os analistas visualizem informações sobre ameaças baseadas em e-mail, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação.
Produtos e recursos Mimecast necessários:
- Gateway de e-mail seguro Mimecast
- Mimecast Inteligência de Ameaças
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Evento(ThreatIntelligenceIndicator) |
Suporte a regras de coleta de dados | Não é suportado atualmente |
Apoiado por | Mimecast |
Exemplos de consulta
ThreatIntelligenceIndicator
ThreatIntelligenceIndicator
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Mimecast Intelligence for Microsoft - Microsoft Sentinel (usando o Azure Functions), certifique-se de:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Credenciais da API Mimecast: Você precisa ter as seguintes informações para configurar a integração:
- mimecastEmail: Endereço de e-mail de um usuário administrador dedicado do Mimecast
- mimecastPassword: Senha para o usuário administrador Mimecast dedicado
- mimecastAppId: ID do aplicativo API do aplicativo Mimecast Microsoft Sentinel registrado no Mimecast
- mimecastAppKey: API Application Key do aplicativo Mimecast Microsoft Sentinel registrado no Mimecast
- mimecastAccessKey: Chave de acesso para o usuário administrador Mimecast dedicado
- mimecastSecretKey: Chave secreta para o usuário administrador Mimecast dedicado
- mimecastBaseURL: URL base da API regional Mimecast
O ID do Aplicativo Mimecast, a Chave do Aplicativo, juntamente com a Chave de Acesso e as chaves secretas para o usuário administrador dedicado do Mimecast podem ser obtidos através do Console de Administração do Mimecast: Administração | Serviços | Integrações API e Plataforma.
A URL base da API Mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: você precisa ter um grupo de recursos criado com uma assinatura que você vai usar.
- Aplicativo Funções: você precisa ter um Aplicativo do Azure registrado para esse conector usar
- ID da Aplicação
- ID de Inquilino
- ID de Cliente
- Segredo do Cliente
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar a uma API Mimecast para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
Configuração:
PASSO 1 - Passos de configuração para a API Mimecast
Vá para o portal do Azure ---> Registros de aplicativos ---> [your_app] ---> Certificados & segredos ---> Novo segredo do cliente e crie um novo segredo (salve o Valor em algum lugar seguro imediatamente, porque você não poderá visualizá-lo mais tarde)
ETAPA 2 - Implantar o Mimecast API Connector
IMPORTANTE: Antes de implantar o conector da API do Mimecast, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados do seguinte), bem como a(s) chave(s) de autorização ou token da API do Mimecast, prontamente disponíveis.
Habilite o Mimecast Intelligence for Microsoft - Microsoft Sentinel Connector:
Clique no botão Implantar no Azure abaixo.
Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.
Insira os seguintes campos:
- appName: cadeia de caracteres exclusiva que será usada como id para o aplicativo na plataforma Azure
- objectId: Portal do Azure ---> Azure Ative Directory ---> mais informações ---> Perfil -----> ID do Objeto
- appInsightsLocation(padrão): westeurope
- mimecastEmail: Endereço de e-mail do usuário dedicado para esta integração
- mimecastPassword: Senha para usuário dedicado
- mimecastAppId: ID do aplicativo Microsoft Sentinel registrado no Mimecast
- mimecastAppKey: Chave de Aplicação da aplicação Microsoft Sentinel registada no Mimecast
- mimecastAccessKey: Chave de acesso para o usuário Mimecast dedicado
- mimecastSecretKey: Chave secreta para usuário Mimecast dedicado
- mimecastBaseURL: URL base da API Mimecast regional
- activeDirectoryAppId: Portal do Azure ---> Registos de aplicações ---> [your_app] ---> ID da Aplicação
- activeDirectoryAppSecret: Portal do Azure ---> Registos de aplicações ---> [your_app] ---> Certificados & segredos ---> [your_app_secret]
- workspaceId: Portal do Azure ---> Log Analytics Workspaces ---> [Seu espaço de trabalho] ---> Agentes ---> ID do espaço de trabalho (ou você pode copiar workspaceId de cima)
- workspaceKey: Portal do Azure ---> Log Analytics Workspaces ---> [Seu espaço de trabalho] ---> Agents ---> Primary Key (ou você pode copiar workspaceKey de cima)
- AppInsightsWorkspaceResourceID : Portal do Azure ---> Log Analytics Workspaces ---> [Seu espaço de trabalho] ---> Propriedades ---> ID do Recurso
Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})
esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.
Marque a caixa de seleção Concordo com os termos e condições mencionados acima.
Clique em Comprar para implantar.
Vá para o portal do Azure ---> Grupos de recursos ---> [your_resource_group] ---> [appName](tipo: Conta de armazenamento) ---> Gerenciador de Armazenamento ---> CONTÊINERES DE BLOB ---> Pontos de verificação TIR ---> Carregue e crie um arquivo vazio em sua máquina chamado checkpoint.txt e selecione-o para upload (isso é feito para que date_range para logs TIR seja armazenado em estado consistente)
Configuração adicional:
Conecte-se a um conector de dados de plataformas de inteligência de ameaças. Siga as instruções na página do conector e clique no botão conectar.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.