Поделиться через

Соединитель Mimecast Awareness Training (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных для Mimecast Awareness Training предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Продукты Mimecast, включенные в соединитель, :

  • Сведения о производительности
  • Сведения о безопасной оценке
  • Данные пользователя
  • Сведения о списке наблюдения

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics Awareness_Performance_Details_CL
Awareness_SafeScore_Details_CL
Awareness_User_Data_CL
Awareness_Watchlist_Details_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Mimecast

Примеры запросов

Awareness_Performance_Details_CL

Awareness_Performance_Details_CL

| sort by TimeGenerated desc

Awareness_SafeScore_Details_CL

Awareness_SafeScore_Details_CL

| sort by TimeGenerated desc

Awareness_User_Data_CL

Awareness_User_Data_CL

| sort by TimeGenerated desc

Awareness_Watchlist_Details_CL

Awareness_User_Data_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Mimecast Awareness Training (с помощью Функции Azure), убедитесь, что у вас есть:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.

Инструкции по установке поставщика

Группа ресурсов

Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.

Приложение функций

Для использования этого соединителя необходимо зарегистрировать приложение Azure

  1. ИД приложения
  2. Идентификатор клиента
  3. ИД клиента
  4. Секрет клиента

Примечание.

Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

виртуальной сети:

ШАГ 1. Действия по настройке API Mimecast

Перейдите к портал Azure --- Регистрация приложений ---> [your_app]> ---> сертификаты и секреты ---> новый секрет клиента и создайте новый секрет (сохраните значение где-то безопасно сразу, так как вы не сможете просмотреть его позже)

ШАГ 2. Развертывание соединителя API Mimecast

ВАЖНО. Прежде чем развертывать соединитель API Mimecast, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Mimecast или token, легко доступные.

Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных Mimecast Awareness Training Data.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и регион.

  3. Введите следующие сведения: URL-адрес ключа рабочей области идентификатора рабочей области (по умолчанию: https://api.services.mimecast.com) Идентификатор клиента Mimecast Client Secret Level (default: INFO) Schedule (0 0 */1 * *) Идентификатор ресурса рабочей области App Insights

  4. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.