適用於 Microsoft Sentinel 的 Mimecast Secure Email Gateway (使用 Azure Functions) 連接器
Mimecast Secure Email Gateway 的數據連接器 可讓您輕鬆地從安全電子郵件閘道 收集記錄,以呈現 Microsoft Sentinel 內的電子郵件深入解析和用戶活動。 數據連接器提供預先建立的儀錶板,可讓分析師檢視電子郵件型威脅的深入解析、協助事件相互關聯,並減少與自定義警示功能結合的調查回應時間。 需要Mimecast產品與功能:
- Mimecast Secure Email Gateway
- Mimecast 數據外洩防護
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | MimecastSIEM_CL MimecastDLP_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Mimecast |
查詢範例
MimecastSIEM_CL
MimecastSIEM_CL
| sort by TimeGenerated desc
MimecastDLP_CL
MimecastDLP_CL
| sort by TimeGenerated desc
必要條件
若要與 Mimecast Secure Email Gateway 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Mimecast API 認證:您需要有下列資訊才能設定整合:
- mimecastEmail:專用Mimecast系統管理員用戶的電子郵件位址
- mimecastPassword:專用Mimecast系統管理員用戶的密碼
- mimecastAppId:Mimecast Microsoft Sentinel 應用程式向Mimecast註冊的 API 應用程式識別碼
- mimecastAppKey:Mimecast Microsoft Sentinel 應用程式向 Mimecast 註冊的 API 應用程式密鑰
- mimecastAccessKey:專用Mimecast系統管理員使用者的存取密鑰
- mimecastSecretKey:專用Mimecast系統管理員使用者的秘密密鑰
- mimecastBaseURL:Mimecast 區域 API 基底 URL
Mimecast 應用程式識別碼、應用程式密鑰,以及專用 Mimecast 系統管理員使用者的存取密鑰和秘密金鑰,可透過 Mimecast 管理員 istration 控制台取得:管理員 istration |服務 |API 和平臺整合。
每個區域的 Mimecast API 基底 URL 記載於此處: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- 資源群組:您必須使用即將使用的訂用帳戶建立資源群組。
- Functions 應用程式:您必須註冊 Azure 應用程式,才能使用此連接器
- 應用程式識別碼
- 用戶識別碼
- 用戶端識別碼
- 用戶端祕密
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Mimecast API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
設定:
步驟 1 - Mimecast API 的設定步驟
移至 Azure 入口網站 --->> 應用程式註冊 --- [your_app] --->憑證和秘密,--->新的客戶端密碼並建立新的秘密(立即將值儲存在安全的地方,因為您稍後將無法預覽)
步驟 2 - 部署 Mimecast API 連線 or
重要事項: 部署Mimecast API 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及Mimecast API授權密鑰(s) 或令牌,隨時可供使用。
部署 Mimecast Secure Email Gateway 數據 連線 or:
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入下欄位:
- appName:將作為 Azure 平臺中應用程式識別碼的唯一字串
- objectId:Azure 入口網站 ---> Azure Active Directory --->配置檔 -------->>對象標識符的詳細資訊
- appInsightsLocation(預設值):westeurope
- mimecastEmail:此 integraion 專用使用者的電子郵件位址
- mimecastPassword:專用用戶的密碼
- mimecastAppId:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式識別碼
- mimecastAppKey:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式密鑰
- mimecastAccessKey:專用Mimecast使用者的存取密鑰
- mimecastSecretKey:專用Mimecast使用者的秘密密鑰
- mimecastBaseURL:區域 Mimecast API 基底 URL
- activeDirectoryAppId: Azure 入口網站 --- 應用程式註冊 ---> [your_app] --->>應用程式識別符
- activeDirectoryAppSecret:Azure 入口網站 ---應用程式註冊 --->> [your_app] --->憑證與秘密---> [your_app_secret]
- workspaceId:Azure 入口網站 ---> Log Analytics Workspaces ---> [您的工作區] --- Agents --->>工作區標識符 (或者您可以從上方複製 workspaceId)
- workspaceKey:Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] ---代理程式>--->主鍵 (或者您可以從上方複製 workspaceKey)
- AppInsightsWorkspaceResourceID :Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] --->属性--->>資源標識符
注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。
標示為 [我同意上述條款及條件] 的複選框。
按兩下 [ 購買 ] 以部署。
移至 [Azure 入口網站 --- 資源群組>] --- [your_resource_group] ---> [appName](類型:儲存體 帳戶)--->>儲存體總管 --- BLOB 容器>--- SIEM 檢查點>---上傳並在名為 checkpoint.txt 的計算機上建立空白檔案,dlp-checkpoint.txt並加以選取以進行上傳 (這樣做可讓 SIEM 記錄date_range儲存在一致狀態)>
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。