Connector „Mimecast-Überwachung und -Authentifizierung“ (über Azure Functions) für Microsoft Sentinel

  • Artikel

Der Datenconnector für Mimecast-Überwachung und -Authentifizierung bietet Kunden Transparenz von Sicherheitsereignissen im Zusammenhang mit Überwachungs- und Authentifizierungsereignissen in Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in Benutzeraktivitäten anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind Überwachung und Authentifizierung.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen MimecastAudit_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Mimecast

Abfragebeispiele

MimecastAudit_CL

MimecastAudit_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Mimecast-Überwachung und -Authentifizierung (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Mimecast-API-Anmeldeinformationen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
  • mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
  • mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
  • mimecastAppId: API-Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
  • mimecastAppKey: API-Anwendungsschlüssel der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
  • mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastBaseURL: Basis-URL der regionalen Mimecast-API

Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie der Zugriffsschlüssel und die geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole bezogen werden: Verwaltung | Dienste | API- und Plattformintegrationen.

Die Basis-URL der Mimecast-API für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Ressourcengruppe: Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.
  • Funktions-App: Sie müssen über eine Azure-App verfügen, die für diesen Connector registriert ist, um diesen Connector verwenden zu können.
  1. Anwendungs-ID
  2. Mandanten-ID
  3. Client-ID
  4. Geheimer Clientschlüssel

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit einer Mimecast-API her, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal > App-Registrierungen > [Ihre_App] > Zertifikate und Geheimnisse > Neuer geheimer Clientschlüssel, und erstellen Sie einen neuen geheimen Schlüssel. (Speichern Sie den Wert an einem sicheren Ort, da Sie ihn später nicht in der Vorschau anzeigen können.)

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Halten Sie für die Bereitstellung des Mimecast-API-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie den bzw. die Autorisierungsschlüssel oder Token der Mimecast-API bereit.

Bereitstellen des Datenconnectors für die Mimecast-Überwachung und -Authentifizierung

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Füllen Sie die folgenden Felder aus:

  • appName: Eindeutige Zeichenfolge, die als ID für die App auf der Azure-Plattform verwendet wird
  • objectId: Azure-Portal > Azure Active Directory > weitere Informationen > Profil > Objekt-ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: E-Mail-Adresse des dedizierten Benutzers für diese Integration
  • mimecastPassword: Kennwort für den dedizierten Benutzer
  • mimecastAppId: Anwendungs-ID aus der bei Mimecast registrierten Microsoft Sentinel-App
  • mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
  • mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
  • mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Benutzer
  • mimecastBaseURL: Basis-URL der regionalen Mimecast-API
  • activeDirectoryAppId: Azure-Portal > App-Registrierungen > [Ihre_App] > Anwendungs-ID
  • activeDirectoryAppSecret: Azure-Portal > App-Registrierungen > [Ihre_App] > Zertifikate und Geheimnisse > [Ihr_App_Geheimnis]
  • workspaceId: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Agents > Arbeitsbereichs-ID (oder Sie können „workspaceId“ von oben kopieren)
  • workspaceKey: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Agents > Primärschlüssel (oder Sie können „workspaceKey“ von oben kopieren)
  • AppInsightsWorkspaceResourceID: Azure-Portal > Log Analytics-Arbeitsbereiche > [Ihr Arbeitsbereich] > Eigenschaften > Ressourcen-ID

Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

  1. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  2. Klicken Sie zum Bereitstellen auf Kaufen.

  3. Navigieren Sie zu Azure-Portal > Ressourcengruppen > [Ihre_Ressourcengruppe] > [appName](Typ: Speicherkonto) > Speicher-Explorer > BLOB-CONTAINER > Überwachungsprüfpunkte > Hochladen, und erstellen Sie eine leere Datei auf Ihrem Computer mit der Bezeichnung „checkpoint.txt“. Wählen Sie sie dann zum Hochladen aus (dies geschieht, damit „date_range“ für SIEM-Protokolle in einem konsistenten Zustand gespeichert werden).

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.