Dela via

Mimecast Targeted Threat Protection-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

Dataanslutningsappen för Mimecast Targeted Threat Protection ger kunderna insyn i säkerhetshändelser relaterade till inspektionstekniker för riktat hotskydd i Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att visa insikter om e-postbaserade hot, hjälp med incidentkorrelation och minska svarstiderna för undersökning i kombination med anpassade aviseringsfunktioner.
Mimecast-produkterna som ingår i anslutningsappen är:

  • URL-skydd
  • Personifieringsskydd
  • Skydda bifogad fil

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Mimecast

Exempel på frågor

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med Mimecast Targeted Threat Protection (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • REST API-autentiseringsuppgifter/-behörigheter: Du måste ha följande information för att konfigurera integreringen:
  • mimecastEmail: E-postadress till en dedikerad Mimecast-administratörsanvändare
  • mimecastPassword: Lösenord för den dedikerade Mimecast-administratörsanvändaren
  • mimecastAppId: API-program-ID för Mimecast Microsoft Sentinel-appen som registrerats med Mimecast
  • mimecastAppKey: API-programnyckeln för Mimecast Microsoft Sentinel-appen som registrerats med Mimecast
  • mimecastAccessKey: Åtkomstnyckel för den dedikerade Mimecast-administratörsanvändaren
  • mimecastSecretKey: Hemlig nyckel för den dedikerade Mimecast-administratörsanvändaren
  • mimecastBaseURL: Mimecast Regional API Base URL

Mimecast-program-ID, programnyckel samt åtkomstnyckel och hemliga nycklar för den dedikerade Mimecast-administratörsanvändaren kan hämtas via Mimecast-administrationskonsolen: Administration | Tjänster | API- och plattformsintegreringar.

Mimecast API-bas-URL:en för varje region dokumenteras här: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Installationsanvisningar för leverantör

Resursgrupp

Du måste ha en resursgrupp skapad med en prenumeration som du ska använda.

Functions-app

Du måste ha en Azure App registrerad för att den här anslutningsappen ska kunna använda

  1. Program-ID
  2. Klientorganisations-ID
  3. Klient-ID
  4. Klienthemlighet

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till ett Mimecast-API för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

Konfiguration:

STEG 1 – Konfigurationssteg för Mimecast-API:et

Gå till Azure Portal --- Appregistreringar --- [your_app] ---> certifikat och hemligheter ---> Ny klienthemlighet och skapa en ny hemlighet (spara värdet någonstans säkert direkt eftersom du inte kommer att kunna förhandsgranska den senare)>>

STEG 2 – Distribuera Mimecast API Connector

VIKTIGT: Innan du distribuerar Mimecast API-anslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Mimecast API-auktoriseringsnycklar eller token, som är lättillgängliga.

Distribuera Mimecast Targeted Threat Protection Data Connector:

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange följande fält:

  • appName: Unik sträng som ska användas som ID för appen i Azure-plattformen
  • objectId: Azure Portal ---> Azure Active Directory ---> mer information ---> profil -----> objekt-ID
  • appInsightsLocation(standard): westeurope
  • mimecastEmail: E-postadress till dedikerad användare för den här integreringen
  • mimecastPassword: Lösenord för dedikerad användare
  • mimecastAppId: Program-ID från Microsoft Sentinel-appen som registrerats med Mimecast
  • mimecastAppKey: Programnyckel från Microsoft Sentinel-appen som registrerats med Mimecast
  • mimecastAccessKey: Åtkomstnyckel för den dedikerade Mimecast-användaren
  • mimecastSecretKey: Hemlig nyckel för dedikerad Mimecast-användare
  • mimecastBaseURL: Regional Mimecast API Base URL
  • activeDirectoryAppId: Azure Portal ---> Appregistreringar ---> [your_app] ---> Program-ID
  • activeDirectoryAppSecret: Azure Portal ---> Appregistreringar ---> [your_app] ---> Certifikat och hemligheter ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics-arbetsytor ---> [din arbetsyta] ---> agenter ---> arbetsyte-ID (eller så kan du kopiera workspaceId från ovan)
  • workspaceKey: Azure Portal ---> Log Analytics-arbetsytor ---> [din arbetsyta] ---> agenter ---> primärnyckel (eller så kan du kopiera arbetsytenyckeln ovan)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics-arbetsytor ---> [din arbetsyta] ---> egenskaper ---> resurs-ID

Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser.

  1. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.

  2. Klicka på Köp för att distribuera.

  3. Gå till Azure Portal --- resursgrupper ---> [your_resource_group] ---> [appName](typ: Lagringskonto) ---> Storage Explorer ---> BLOB CONTAINERS ---> TTP-kontrollpunkter ---> Ladda upp och skapa tomma filer på datorn med namnet attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt och välj dem för uppladdning (detta görs så att date_range för TTP-loggar lagras i konsekvent tillstånd)>

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.