Поделиться через

Соединитель Secure Email Gateway Mimecast (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных для Шлюза безопасной электронной почты Mimecast позволяет легко собирать журналы из безопасного шлюза электронной почты для получения сведений о электронной почте и действий пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast:

  • Безопасный шлюз электронной почты Mimecast
  • Предотвращение утечки данных Mimecast

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics MimecastSIEM_CL
MimecastDLP_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Mimecast

Примеры запросов

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Mimecast Secure Email Gateway (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
  • Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure
  1. ИД приложения
  2. Идентификатор клиента
  3. ИД клиента
  4. Секрет клиента

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

виртуальной сети:

ШАГ 1. Действия по настройке API Mimecast

Перейдите к портал Azure --- Регистрация приложений ---> [your_app]> ---> сертификаты и секреты ---> новый секрет клиента и создайте новый секрет (сохраните значение где-то безопасно сразу, так как вы не сможете просмотреть его позже)

ШАГ 2. Развертывание соединителя API Mimecast

ВАЖНО. Прежде чем развертывать соединитель API Mimecast, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Mimecast или token, легко доступные.

Разверните соединитель данных Шлюза электронной почты Mimecast Secure:

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Заполните следующие поля:

  • appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения на платформе Azure
  • objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения --- идентификатор объекта ----->> профиля
  • appInsightsLocation(default): westeurope
  • mimecastEmail: адрес электронной почты выделенного пользователя для этой интеграции
  • mimecastPassword: пароль для выделенного пользователя
  • mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
  • mimecastBaseURL: базовый URL-адрес API mimecast для региональных mimecast
  • activeDirectoryAppId: портал Azure ---> Регистрация приложений --- [your_app]> ---> идентификатор приложения
  • activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты и секреты ---> [your_app_secret]
  • workspaceId: портал Azure ---> Рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> идентификатор рабочей области (или можно скопировать идентификатор рабочей области из выше)
  • workspaceKey: портал Azure ---> рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> первичный ключ (или скопировать workspaceKey из выше)
  • AppInsightsWorkspaceResourceID: портал Azure ---> рабочие области Log Analytics --- [ваша рабочая область] --->> Свойства ---> идентификатор ресурса

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.

  1. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

  2. Нажмите кнопку " Купить" , чтобы развернуть.

  3. Перейдите к > группам ресурсов портал Azure --- --- [your_resource_group]> --- [appName](тип: учетная запись хранения)>> ---> Обозреватель службы хранилища --- КОНТЕЙНЕРОВ BLOB-объектов ---> контрольных точек SIEM ---> отправить и создать пустой файл на компьютере с именем checkpoint.txt, dlp-checkpoint.txt и выберите его для отправки (это делается так, чтобы date_range для SIEM журналы хранятся в согласованном состоянии)

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.