Mimecast Intelligence para Microsoft: conector de Microsoft Sentinel (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector de datos para Mimecast Intelligence para Microsoft proporciona inteligencia sobre amenazas regional seleccionada de las tecnologías de inspección de correo electrónico de Mimecast con paneles creados previamente para permitir a los analistas ver información sobre amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación.
Productos y características de Mimecast necesarios:

  • Puerta de enlace de correo electrónico seguro de Mimecast
  • Inteligencia sobre amenazas de Mimecast

Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics Event(ThreatIntelligenceIndicator)
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Mimecast

Ejemplos de consultas

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con Mimecast Intelligence para Microsoft: Microsoft Sentinel (mediante Azure Functions), asegúrese de que tiene:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
  • Credenciales de la API de Mimecast: Debe tener los siguientes fragmentos de información para configurar la integración:
  • mimecastEmail: Dirección de correo electrónico de un usuario administrador de Mimecast dedicado
  • mimecastPassword: Contraseña para el usuario administrador de Mimecast dedicado
  • mimecastAppId: id. de aplicación de API de la aplicación Mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: Clave de aplicación de la API de la aplicación Mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: Clave de acceso para el usuario administrador de Mimecast dedicado
  • mimecastSecretKey: Clave secreta para el usuario administrador de Mimecast dedicado
  • mimecastBaseURL:Dirección URL base de la API regional de Mimecast

El Id. de aplicación de Mimecast, la clave de aplicación, junto con las claves de acceso y las claves secretas para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de la API de Mimecast para cada región se documenta aquí: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupo de recursos: Debe tener un grupo de recursos creado con una suscripción que va a usar.
  • Aplicación de funciones: Debe tener una aplicación de Azure registrada para que este conector la use
  1. Identificador de aplicación
  2. Identificador de inquilino
  3. Id. de cliente
  4. Secreto del cliente

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a una API de Mimecast para extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

Configuración:

PASO 1: Pasos de configuración de la API de Mimecast

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados y secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (Guarde el valor seguro inmediatamente porque no podrá obtener una vista previa posterior)

PASO 2: Implementación del conector de Mimecast API

IMPORTANTE: Antes de implementar el conector de la API de Mimecast, tenga el id. del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización o token de la API de Mimecast, disponibles fácilmente.

Habilite Mimecast Intelligence para Microsoft - Microsoft Sentinel Connector:

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Introduzca los campos siguientes:

  • appName: Cadena única que se usará como identificador para la aplicación en la plataforma Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> más información ---> Perfil -----> Id. de objeto
  • appInsightsLocation(default): westeurope
  • mimecastEmail: Dirección de correo electrónico del usuario dedicado para esta integración
  • mimecastPassword: Contraseña para un usuario dedicado
  • mimecastAppId: id. de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: Clave de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: Clave de acceso para el usuario de Mimecast dedicado
  • mimecastSecretKey: Clave secreta para el usuario de Mimecast dedicado
  • mimecastBaseURL: Dirección URL base de la API de Mimecast regional
  • activeDirectoryAppId: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> id. de aplicación
  • activeDirectoryAppSecret: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados y secretos ---> [your_app_secret]
  • workspaceId: Azure Portal ---> áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> id. de área de trabajo (o puede copiar workspaceId desde arriba)
  • workspaceKey: Azure Portal ---> Áreas de trabajo de Log Analytics ---> [Su área de trabajo] --- Agentes --->> Clave principal (o puede copiar workspaceKey desde arriba)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> Áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> propiedades ---> Identificador de recurso

Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada.

  1. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

  2. Haga clic en Comprar para iniciar la implementación.

  3. Vaya a Azure Portal ---> Grupos de recursos ---> [your_resource_group] ---> [appName](tipo: cuenta de almacenamiento) ---> Explorador de Storage ---> CONTENEDORES DE BLOB ---> puntos de control de TIR ---> Cargar y cree un archivo vacío en su máquina llamado checkpoint.txt y selecciónelo para cargarlo (esto se hace para que el rango de fechas de los registros TIR se almacene en un estado consistente)

Configuración adicional:

Conéctese a un Conector de datos de Plataformas de inteligencia sobre amenazas. Siga las instrucciones de la página del conector y haga clic en el botón Conectar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.