mimecast Intelligence for Microsoft - Microsoft Sentinel (使用 Azure Functions) connector for Microsoft Sentinel
Mimecast Intelligence for Microsoft的數據連接器提供從 Mimecast 的電子郵件檢查技術策劃的區域威脅情報,以及預先建立的儀錶板,讓分析師能夠檢視電子郵件型威脅的深入解析、協助事件相互關聯並減少調查響應時間。
需要Mimecast產品與功能:
- Mimecast Secure Email Gateway
- Mimecast Threat Intelligence
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | Event(ThreatIntelligenceIndicator) |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Mimecast |
查詢範例
ThreatIntelligenceIndicator
ThreatIntelligenceIndicator
| sort by TimeGenerated desc
必要條件
若要與 mimecast Intelligence for Microsoft 整合 - Microsoft Sentinel (使用 Azure Functions) 確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- Mimecast API 認證:您需要有下列資訊才能設定整合:
- mimecastEmail:專用Mimecast系統管理員用戶的電子郵件位址
- mimecastPassword:專用Mimecast系統管理員用戶的密碼
- mimecastAppId:Mimecast Microsoft Sentinel 應用程式向Mimecast註冊的 API 應用程式識別碼
- mimecastAppKey:Mimecast Microsoft Sentinel 應用程式向 Mimecast 註冊的 API 應用程式密鑰
- mimecastAccessKey:專用Mimecast系統管理員使用者的存取密鑰
- mimecastSecretKey:專用Mimecast系統管理員使用者的秘密密鑰
- mimecastBaseURL:Mimecast 區域 API 基底 URL
Mimecast 應用程式識別碼、應用程式密鑰,以及專用 Mimecast 系統管理員使用者的存取金鑰和秘密金鑰,可透過 Mimecast 管理控制台取得:系統管理 |服務 |API 和平臺整合。
每個區域的 Mimecast API 基底 URL 記載於此處: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- 資源群組:您必須使用即將使用的訂用帳戶建立資源群組。
- Functions 應用程式:您必須註冊 Azure 應用程式,才能使用此連接器
- 應用程式識別碼
- 用戶識別碼
- 用戶端識別碼
- 用戶端密碼
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Mimecast API,將其記錄提取到 sentinel Microsoft。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
設定:
步驟 1 - Mimecast API 的設定步驟
移至 Azure 入口網站 --- 應用程式註冊 --- [your_app] --->憑證和秘密---> [新增用戶端密碼],並建立新的秘密(立即將值儲存在安全的地方,因為您稍後將無法預覽它)>>
步驟 2 - 部署 Mimecast API 連接器
重要事項: 部署Mimecast API 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及Mimecast API授權密鑰(s) 或令牌,隨時可供使用。
啟用 mimecast Intelligence for Microsoft - Microsoft Sentinel Connector:
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入下欄位:
- appName:將作為 Azure 平臺中應用程式識別碼的唯一字串
- objectId:Azure 入口網站 ---> Azure Active Directory> --- --- Profile -----> 對象標識碼的詳細資訊>
- appInsightsLocation(預設值):westeurope
- mimecastEmail:此整合專用使用者的電子郵件位址
- mimecastPassword:專用用戶的密碼
- mimecastAppId:向Mimecast註冊之Microsoft Sentinel 應用程式的應用程式標識碼
- mimecastAppKey:向Mimecast註冊之Microsoft Sentinel 應用程式的應用程式密鑰
- mimecastAccessKey:專用Mimecast使用者的存取密鑰
- mimecastSecretKey:專用Mimecast使用者的秘密密鑰
- mimecastBaseURL:區域 Mimecast API 基底 URL
- activeDirectoryAppId: Azure 入口網站 --- 應用程式註冊> ---> [your_app] --->應用程式識別符
- activeDirectoryAppSecret: Azure 入口網站 ---> 應用程式註冊> --- [your_app] --->憑證與秘密---> [your_app_secret]
- workspaceId:Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] --- Agents --->>工作區標識符 (或者您可以從上方複製 workspaceId)
- workspaceKey:Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] --->代理程式--->>主鍵 (或者您可以從上方複製 workspaceKey)
- AppInsightsWorkspaceResourceID :Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] --->>属性--->資源標識符
若針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述以取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。
選取標示為 [我同意上方所述的條款及條件] 的核取方塊。
按一下 [購買] 以部署。
移至 Azure 入口網站 --- 資源群組 ---> [your_resource_group] ---> [appName](類型:記憶體帳戶)>>--- 儲存體總管 --- BLOB --->> 容器---上傳並建立空白檔案的計算機上,名為 checkpoint.txt,然後選取它進行上傳(這麼做可讓 TIR 記錄date_range儲存在一致狀態)>
其他設定:
聯機到 威脅情報平臺 數據連接器。 遵循連接器頁面上的指示,然後按兩下 [連線] 按鈕。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。