Mimecast Audit (使用 Azure Functions) 連接器進行Microsoft Sentinel
Mimecast Audit 的數據連接器可讓客戶瞭解 Microsoft與 Sentinel 內稽核和驗證事件相關的安全性事件。 數據連接器提供預先建立的儀錶板,可讓分析師檢視用戶活動的深入解析、協助事件相互關聯,並減少與自定義警示功能結合的調查回應時間。
連接器中包含的Mimecast產品包括:稽核
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | MimecastAudit_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Mimecast |
查詢範例
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
必要條件
若要與 Mimecast Audit 整合(使用 Azure Functions),請確定您有:
- Azure 訂用帳戶:需要具有擁有者角色的 Azure 訂用帳戶,才能在 Microsoft Entra ID 中註冊應用程式,並將參與者角色指派給資源群組中的應用程式。
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立函數應用程式。 請參閱文件以深入了解 Azure Functions。
- REST API 認證/許可權:請參閱檔以深入瞭解 Rest API 參考上的 API
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Mimecast API,將其記錄提取到 sentinel Microsoft。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
設定:
步驟 1 - Mimecast API 的設定步驟
移至 Azure 入口網站>> --- 應用程式註冊 --- [your_app] --->憑證和秘密>---新的客戶端密碼,並建立新的秘密(立即將值儲存在安全的地方,因為您稍後將無法預覽)
步驟 2 - 部署 Mimecast API 連接器
重要事項: 部署Mimecast API 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及Mimecast API授權密鑰(s) 或令牌,隨時可供使用。
部署 Mimecast Audit Data Connector:
使用此方法來自動部署Mimecast Audit Data Connector。
按一下下方的 [部署至 Azure] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 區域。
輸入下列資訊:工作區標識符工作區密鑰基底 URL (預設值: https://api.services.mimecast.com) 開始日期 Mimecast 用戶端標識碼 Mimecast 用戶端密碼記錄層級 (預設值: INFO) 排程 (0 0 */1 *) App Insights 工作區資源識別符
選取標示著 [我同意上述條款及條件] 的核取方塊。
按一下 [購買] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。