你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Mimecast Audit(使用 Azure Functions)连接器
通过 Mimecast Audit 的数据连接器,客户能够了解与 Microsoft Sentinel 中的审核和身份验证事件相关的安全事件。 数据连接器提供预先创建的仪表板,使分析师能够查看有关用户活动的见解、帮助进行事件关联并减少调查响应时间,它还提供自定义警报功能。
连接器中包含的 Mimecast 产品包括:Audit
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | MimecastAudit_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Mimecast |
查询示例
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
先决条件
若要与 Slack Audit(使用 Azure Functions)集成,请确保拥有:
- Azure 订阅:需要有具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者的角色分配给资源组中的应用。
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- REST API 凭据/权限:请查看 Rest API 参考上的文档以了解 API 的详细信息
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Mimecast API,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
配置:
步骤 1 - Mimecast API 的配置步骤
转到“Azure 门户”--->“应用注册”---> [your_app] --->“证书和机密”--->“新建客户端密码”,然后创建新机密(立即将 Value 保存在安全的位置,因为稍后将无法预览它)
步骤 2 - 部署 Mimecast API 连接器
重要说明:部署 Mimecast API 连接器前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Mimecast API 授权密钥或令牌。
部署 Mimecast Audit 数据连接器:
使用此方法可自动部署 Mimecast Audit 数据连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“区域”。
输入以下信息:工作区 ID、工作区密钥、基 URL(默认值:https://api.services.mimecast.com)、开始日期、Mimecast 客户端 ID、Mimecast 客户端密码、日志级别(默认值:INFO)、计划 (0 0 */1 * * *)、App Insights 工作区资源 ID
选中“我同意上述条款和条件”复选框。
单击“购买”进行部署。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。