你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Mimecast Audit & Authentication(使用 Azure Functions)连接器
通过 Mimecast Audit & Authentication 的数据连接器,客户能够了解与 Microsoft Sentinel 中的审核和身份验证事件相关的安全事件。 数据连接器提供预先创建的仪表板,使分析师能够查看有关用户活动的见解、帮助进行事件关联并减少调查响应时间,它还提供自定义警报功能。
连接器中包含的 Mimecast 产品包括:Audit & Authentication
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | MimecastAudit_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Mimecast |
查询示例
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
先决条件
若要与 Mimecast Audit & Authentication(使用 Azure Functions)集成,请确保具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Mimecast API 凭据:需要提供以下信息来配置集成:
- mimecastEmail:专用 Mimecast 管理员用户的电子邮件地址
- mimecastPassword:专用 Mimecast 管理员用户的密码
- mimecastAppId:在 Mimecast 中注册的 Mimecast Microsoft Sentinel 应用的 API 应用程序 ID
- mimecastAppKey:在 Mimecast 中注册的 Mimecast Microsoft Sentinel 应用的 API 应用程序密钥
- mimecastAccessKey:专用 Mimecast 管理员用户的访问密钥
- mimecastSecretKey:专用 Mimecast 管理员用户的密钥
- mimecastBaseURL:Mimecast 区域 API 基 URL
Mimecast 应用程序 ID、应用程序密钥以及专用 Mimecast 管理员用户的访问密钥和密钥可通过 Mimecast 管理控制台获取:管理 | 服务 | API 和平台集成。
此处记录了每个区域的 Mimecast API 基 URL:https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- 资源组:需要使用要使用的订阅创建一个资源组。
- 函数应用:需要注册一个 Azure 应用供此连接器使用
- 应用程序 ID
- 租户 ID
- 客户端 ID
- 客户端机密
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Mimecast API,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
配置:
步骤 1 - Mimecast API 的配置步骤
转到“Azure 门户”--->“应用注册”---> [your_app] --->“证书和机密”--->“新建客户端密码”,然后创建新机密(立即将 Value 保存在安全的位置,因为稍后将无法预览它)
步骤 2 - 部署 Mimecast API 连接器
重要说明:部署 Mimecast API 连接器前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Mimecast API 授权密钥或令牌。
部署 Mimecast Audit & Authentication 数据连接器:
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入以下字段:
- appName:将用作 Azure 平台中应用的 ID 的唯一字符串
- objectId:Azure 门户 ---> Azure Active Directory ---> 详细信息 ---> 配置文件 -----> 对象 ID
- appInsightsLocation(默认值):westeurope
- mimecastEmail:此集成的专用用户的电子邮件地址
- mimecastPassword:专用用户的密码
- mimecastAppId:在 Mimecast 中注册的 Microsoft Sentinel 应用的应用程序 ID
- mimecastAppKey:在 Mimecast 中注册的 Microsoft Sentinel 应用的应用程序密钥
- mimecastAccessKey:专用 Mimecast 用户的访问密钥
- mimecastSecretKey:专用 Mimecast 用户的密钥
- mimecastBaseURL:区域 Mimecast API 基 URL
- activeDirectoryAppId:Azure 门户 ---> 应用注册 ---> [your_app] ---> 应用程序 ID
- activeDirectoryAppSecret:Azure 门户 ---> 应用注册 ---> [your_app] ---> 证书和机密 ---> [your_app_secret]
- workspaceId:Azure 门户 ---> Log Analytics 工作区 ---> [你的工作区] ---> 代理 ---> 工作区 ID(也可从上面复制 workspaceId)
- workspaceKey:Azure 门户 ---> Log Analytics 工作区 ---> [你的工作区] ---> 代理 ---> 主密钥(也可从上面复制 workspaceKey)
- AppInsightsWorkspaceResourceID:Azure 门户 ---> Log Analytics 工作区 ---> [你的工作区] ---> 属性 ---> 资源 ID
注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。
选中“我同意上述条款和条件”复选框。
单击“购买”进行部署。
转到“Azure 门户”--->“资源组”---> [your_resource_group] ---> [appName](类型:存储帐户)--->“存储资源管理器”--->“BLOB 容器”--->“审核检查点”--->“上传”,并在计算机上创建名为 checkpoint.txt 的空文件,再选择它进行上传(这样,SIEM 日志的 date_range 以一致状态存储)
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。