Поделиться через

Соединитель аудита Mimecast (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных для аудита Mimecast предоставляет клиентам видимость событий безопасности, связанных с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель, : аудит

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics MimecastAudit_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Mimecast

Примеры запросов

MimecastAudit_CL

MimecastAudit_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с mimecast Audit (с помощью Функции Azure), убедитесь, что у вас есть:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

виртуальной сети:

ШАГ 1. Действия по настройке API Mimecast

Перейдите к портал Azure --- Регистрация приложений ---> [your_app]> ---> сертификаты и секреты ---> новый секрет клиента и создайте новый секрет (сохраните значение где-то безопасно сразу, так как вы не сможете просмотреть его позже)

ШАГ 2. Развертывание соединителя API Mimecast

ВАЖНО. Прежде чем развертывать соединитель API Mimecast, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Mimecast или token, легко доступные.

Разверните соединитель данных аудита Mimecast:

Используйте этот метод для автоматического развертывания соединителя данных аудита Mimecast.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и регион.

  3. Введите следующие сведения: базовый URL-адрес ключа рабочей области идентификатора mimecast client (значение по умолчанию https://api.services.mimecast.com: INFO) Расписание (0 0 */1 * * *) Идентификатор ресурса рабочей области App Insights

  4. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.