Dela via

Mimecast Secure Email Gateway (med Azure Functions)-anslutningsprogram för Microsoft Sentinel

  • Artikel

Dataanslutningen för Mimecast Secure Email Gateway gör det enkelt att samla in loggar från den säkra e-postgatewayen för att visa e-postinsikt och användaraktivitet i Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att visa insikter om e-postbaserade hot, hjälp med incidentkorrelation och minska svarstiderna för undersökning i kombination med anpassade aviseringsfunktioner. Mimecast-produkter och funktioner som krävs:

  • Mimecast Säker e-postgateway
  • Mimecast Data Leak Prevention

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller MimecastSIEM_CL
MimecastDLP_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Mimecast

Exempel på frågor

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med Mimecast Secure Email Gateway (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • Mimecast API-autentiseringsuppgifter: Du måste ha följande information för att konfigurera integreringen:
  • mimecastEmail: E-postadress till en dedikerad Mimecast-administratörsanvändare
  • mimecastPassword: Lösenord för den dedikerade Mimecast-administratörsanvändaren
  • mimecastAppId: API-program-ID för Mimecast Microsoft Sentinel-appen som registrerats med Mimecast
  • mimecastAppKey: API-programnyckeln för Mimecast Microsoft Sentinel-appen som registrerats med Mimecast
  • mimecastAccessKey: Åtkomstnyckel för den dedikerade Mimecast-administratörsanvändaren
  • mimecastSecretKey: Hemlig nyckel för den dedikerade Mimecast-administratörsanvändaren
  • mimecastBaseURL: Mimecast Regional API Base URL

Mimecast-program-ID, programnyckel samt åtkomstnyckel och hemliga nycklar för den dedikerade Mimecast-administratörsanvändaren kan hämtas via Mimecast-administrationskonsolen: Administration | Tjänster | API- och plattformsintegreringar.

Mimecast API-bas-URL:en för varje region dokumenteras här: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Resursgrupp: Du måste ha en resursgrupp skapad med en prenumeration som du ska använda.
  • Functions-app: Du måste ha en Azure-app registrerad för att den här anslutningsappen ska kunna använda
  1. Program-ID
  2. Klientorganisations-ID
  3. Klient-ID
  4. Klienthemlighet

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till ett Mimecast-API för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

Konfiguration:

STEG 1 – Konfigurationssteg för Mimecast-API:et

Gå till Azure-portalen ---> Appregistreringar ---> [your_app] ---> certifikat och hemligheter ---> Ny klienthemlighet och skapa en ny hemlighet (spara värdet på en säker plats direkt eftersom du inte kommer att kunna förhandsgranska den senare)

STEG 2 – Distribuera Mimecast API-Anslut eller

VIKTIGT: Innan du distribuerar Mimecast API-anslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Mimecast API-auktoriseringsnycklar eller token, som är lättillgängliga.

Distribuera Mimecast Secure Email Gateway-data Anslut eller:

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange följande fält:

  • appName: Unik sträng som ska användas som ID för appen i Azure-plattformen
  • objectId: Azure Portal ---> Azure Active Directory ---> mer information ---> profil -----> objekt-ID
  • appInsightsLocation(standard): westeurope
  • mimecastEmail: E-postadress till dedikerad användare för den här integraionen
  • mimecastPassword: Lösenord för dedikerad användare
  • mimecastAppId: Program-ID från Microsoft Sentinel-appen som registrerats med Mimecast
  • mimecastAppKey: Programnyckel från Microsoft Sentinel-appen som registrerats med Mimecast
  • mimecastAccessKey: Åtkomstnyckel för den dedikerade Mimecast-användaren
  • mimecastSecretKey: Hemlig nyckel för dedikerad Mimecast-användare
  • mimecastBaseURL: Regional Mimecast API Base URL
  • activeDirectoryAppId: Azure-portalen ---> Appregistreringar ---> [your_app] ---> program-ID
  • activeDirectoryAppSecret: Azure Portal ---> Appregistreringar ---> [your_app] ---> Certifikat och hemligheter ---> [your_app_secret]
  • workspaceId: Azure-portalen ---> Log Analytics-arbetsytor ---> [din arbetsyta] ---> agenter ---> arbetsyte-ID (eller så kan du kopiera workspaceId ovan)
  • workspaceKey: Azure-portalen ---> Log Analytics-arbetsytor ---> [din arbetsyta] ---> agenter ---> primärnyckel (eller så kan du kopiera arbetsytenyckeln ovan)
  • AppInsightsWorkspaceResourceID: Azure-portalen ---> Log Analytics-arbetsytor ---> [din arbetsyta] ---> egenskaper ---> resurs-ID

Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser.

  1. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.

  2. Klicka på Köp för att distribuera.

  3. Gå till Azure Portal ---> Resursgrupper ---> [your_resource_group] ---> [appName](typ: Lagringskonto) ---> Storage Explorer ---> BLOB CONTAINERS ---> SIEM-kontrollpunkter ---> Ladda upp och skapa en tom fil på datorn med namnet checkpoint.txt, dlp-checkpoint.txt och välj den för uppladdning (detta görs så att date_range för SIEM-loggar lagras i konsekvent tillstånd)

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.