Dela via

Mimecast Audit-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

Dataanslutningen för Mimecast Audit ger kunderna insyn i säkerhetshändelser relaterade till gransknings- och autentiseringshändelser i Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att visa insikter om användaraktivitet, hjälp vid incidentkorrelation och minska svarstiderna för undersökningar i kombination med anpassade aviseringsfunktioner.
Mimecast-produkterna som ingår i anslutningsappen är: Granska

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller MimecastAudit_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Mimecast

Exempel på frågor

MimecastAudit_CL

MimecastAudit_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med Mimecast Audit (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Azure-prenumeration: Azure-prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra-ID och tilldela rollen deltagare till appen i resursgruppen.
  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • Autentiseringsuppgifter/behörigheter för REST API: Mer information om API i rest-API-referensen finns i dokumentationen

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till ett Mimecast-API för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

Konfiguration:

STEG 1 – Konfigurationssteg för Mimecast-API:et

Gå till Azure Portal --- Appregistreringar --- [your_app] ---> certifikat och hemligheter ---> Ny klienthemlighet och skapa en ny hemlighet (spara värdet någonstans säkert direkt eftersom du inte kommer att kunna förhandsgranska den senare)>>

STEG 2 – Distribuera Mimecast API Connector

VIKTIGT: Innan du distribuerar Mimecast API-anslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Mimecast API-auktoriseringsnycklar eller token, som är lättillgängliga.

Distribuera Mimecast Audit Data Connector:

Använd den här metoden för automatisk distribution av Mimecast Audit Data-anslutningsappen.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och region.

  3. Ange följande information: Bas-URL för arbetsyte-ID för arbetsytans nyckel (standard: https://api.services.mimecast.com) Startdatum Mimecast-klient-ID Mimecast-klienthemlighetsloggnivå (standard: INFO) Schema (0 0 */1 * * *) Resurs-ID för App Insights-arbetsyta

  4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.

  5. Klicka på Köp för att distribuera.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.