Mimecast Targeted Threat Protection (uso de Azure Functions) connector for Microsoft Sentinel

  • Artículo

El conector de datos para Protección frente a amenazas específicas de Mimecast proporciona a los clientes la visibilidad de los eventos de seguridad relacionados con las tecnologías de inspección de Protección contra amenazas específicas dentro de Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas.
Los productos de Mimecast incluidos en el conector son:

  • Protección de direcciones URL
  • Protección de suplantación
  • Protección de datos adjuntos

Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Mimecast

Ejemplos de consultas

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con Mimecast Targeted Threat Protection (mediante Azure Functions), asegúrese de que tiene:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
  • credenciales y permisos de la API REST: debe tener los siguientes fragmentos de información para configurar la integración:
  • mimecastEmail: Dirección de correo electrónico de un usuario administrador de Mimecast dedicado
  • mimecastPassword: Contraseña para el usuario administrador de Mimecast dedicado
  • mimecastAppId: id. de aplicación de API de la aplicación Mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: Clave de aplicación de la API de la aplicación Mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: Clave de acceso para el usuario administrador de Mimecast dedicado
  • mimecastSecretKey: Clave secreta para el usuario administrador de Mimecast dedicado
  • mimecastBaseURL:Dirección URL base de la API regional de Mimecast

El Id. de aplicación de Mimecast, la clave de aplicación, junto con las claves de acceso y las claves secretas para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de la API de Mimecast para cada región se documenta aquí: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Instrucciones de instalación del proveedor

Resource group

Debe tener un grupo de recursos creado con una suscripción que va a usar.

Aplicación de Functions

Debe tener una aplicación de Azure registrada para que este conector la use

  1. Identificador de aplicación
  2. Identificador de inquilino
  3. Id. de cliente
  4. Secreto del cliente

Nota:

Este conector usa Azure Functions para conectarse a una API de Mimecast para extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

Configuración:

PASO 1: Pasos de configuración de la API de Mimecast

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados y secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (Guarde el valor seguro inmediatamente porque no podrá obtener una vista previa posterior)

PASO 2: Implementación del conector de Mimecast API

IMPORTANTE: Antes de implementar el conector de la API de Mimecast, tenga el id. del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización o token de la API de Mimecast, disponibles fácilmente.

Implemente el conector de datos de Protección contra amenazas dirigida de Mimecast:

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Introduzca los campos siguientes:

  • appName: Cadena única que se usará como identificador para la aplicación en la plataforma Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> más información ---> Perfil -----> Id. de objeto
  • appInsightsLocation(default): westeurope
  • mimecastEmail: Dirección de correo electrónico del usuario dedicado para esta integración
  • mimecastPassword: Contraseña para un usuario dedicado
  • mimecastAppId: id. de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: Clave de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: Clave de acceso para el usuario de Mimecast dedicado
  • mimecastSecretKey: Clave secreta para el usuario de Mimecast dedicado
  • mimecastBaseURL: Dirección URL base de la API de Mimecast regional
  • activeDirectoryAppId: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> id. de aplicación
  • activeDirectoryAppSecret: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados y secretos ---> [your_app_secret]
  • workspaceId: Azure Portal ---> áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> id. de área de trabajo (o puede copiar workspaceId desde arriba)
  • workspaceKey: Azure Portal ---> Áreas de trabajo de Log Analytics ---> [Su área de trabajo] --- Agentes --->> Clave principal (o puede copiar workspaceKey desde arriba)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> Áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> propiedades ---> Identificador de recurso

Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada.

  1. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

  2. Haga clic en Comprar para iniciar la implementación.

  3. Vaya a Azure Portal ---> Grupos de recursos ---> [your_resource_group] ---> [appName](tipo: cuenta de almacenamiento) ---> Explorador de Storage ---> contenedores de BLOB ---> puntos de control de TTP ---> Carga y creación de archivos vacíos en el equipo denominado attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt y selecciónelos para la carga (esto se hace para que date_range para los registros de TTP se almacenen en estado coherente)

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.