你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Mimecast Targeted Threat Protection(使用 Azure Functions)连接器

Mimecast Targeted Threat Protection 的数据连接器让客户能够了解与 Microsoft Sentinel 中的 Targeted Threat Protection 检查相关的安全事件。 数据连接器提供预先创建的仪表板,使分析师能够查看基于电子邮件的威胁见解、帮助进行事件关联并减少调查响应时间,它还提供自定义警报功能。
连接器中包含的 Mimecast 产品包括:

  • URL 保护
  • 模拟防护
  • 附件保护

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
数据收集规则支持 目前不支持
支持的服务 Mimecast

查询示例

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

先决条件

若要与 Mimecast Targeted Threat Protection(使用 Azure Functions)集成,请确保具有:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • REST API 凭据/权限:需要提供以下信息来配置集成:
  • mimecastEmail:专用 Mimecast 管理员用户的电子邮件地址
  • mimecastPassword:专用 Mimecast 管理员用户的密码
  • mimecastAppId:在 Mimecast 中注册的 Mimecast Microsoft Sentinel 应用的 API 应用程序 ID
  • mimecastAppKey:在 Mimecast 中注册的 Mimecast Microsoft Sentinel 应用的 API 应用程序密钥
  • mimecastAccessKey:专用 Mimecast 管理员用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 管理员用户的密钥
  • mimecastBaseURL:Mimecast 区域 API 基 URL

Mimecast 应用程序 ID、应用程序密钥以及专用 Mimecast 管理员用户的访问密钥和密钥可通过 Mimecast 管理控制台获取:管理 | 服务 | API 和平台集成。

此处记录了每个区域的 Mimecast API 基 URL:https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

供应商安装说明

资源组

需要使用要使用的订阅创建一个资源组。

Functions 应用

需要注册一个 Azure 应用供此连接器使用

  1. 应用程序 ID
  2. 租户 ID
  3. 客户端 ID
  4. 客户端机密

注意

此连接器使用 Azure Functions 连接到 Mimecast API,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

配置:

步骤 1 - Mimecast API 的配置步骤

转到“Azure 门户”--->“应用注册”---> [your_app] --->“证书和机密”--->“新建客户端密码”,然后创建新机密(立即将 Value 保存在安全的位置,因为稍后将无法预览它)

步骤 2 - 部署 Mimecast API 连接器

重要说明:部署 Mimecast API 连接器前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Mimecast API 授权密钥或令牌。

部署 Mimecast Targeted Threat Protection 数据连接器:

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入以下字段:

  • appName:将用作 Azure 平台中应用的 ID 的唯一字符串
  • objectId:Azure 门户 ---> Azure Active Directory ---> 详细信息 ---> 配置文件 -----> 对象 ID
  • appInsightsLocation(默认值):westeurope
  • mimecastEmail:此集成的专用用户的电子邮件地址
  • mimecastPassword:专用用户的密码
  • mimecastAppId:在 Mimecast 中注册的 Microsoft Sentinel 应用的应用程序 ID
  • mimecastAppKey:在 Mimecast 中注册的 Microsoft Sentinel 应用的应用程序密钥
  • mimecastAccessKey:专用 Mimecast 用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 用户的密钥
  • mimecastBaseURL:区域 Mimecast API 基 URL
  • activeDirectoryAppId:Azure 门户 ---> 应用注册 ---> [your_app] ---> 应用程序 ID
  • activeDirectoryAppSecret:Azure 门户 ---> 应用注册 ---> [your_app] ---> 证书和机密 ---> [your_app_secret]
  • workspaceId:Azure 门户 ---> Log Analytics 工作区 ---> [你的工作区] ---> 代理 ---> 工作区 ID(也可从上面复制 workspaceId)
  • workspaceKey:Azure 门户 ---> Log Analytics 工作区 ---> [你的工作区] ---> 代理 ---> 主密钥(也可从上面复制 workspaceKey)
  • AppInsightsWorkspaceResourceID:Azure 门户 ---> Log Analytics 工作区 ---> [你的工作区] ---> 属性 ---> 资源 ID

注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档

  1. 选中“我同意上述条款和条件”复选框。

  2. 单击“购买”进行部署。

  3. 转到“Azure 门户”--->“资源组”---> [your_resource_group] ---> [appName](类型:存储帐户)--->“存储资源管理器”--->“BLOB 容器”--->“TTP 检查点”--->“上传”,并在计算机上创建名为 attachment-checkpoint.txt、impersonation-checkpoint.txt 和 url-checkpoint.txt 的空文件,再选择它们进行上传(这样,TTP 日志的 date_range 以一致状态存储)

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案