Mimecast Secure Email Gateway (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Mimecast Biztonságos e-mail-átjáró adatösszekötője egyszerű naplógyűjtést tesz lehetővé a biztonságos e-mail-átjáróról a Microsoft Sentinel e-mail-megállapításainak és felhasználói tevékenységeinek felszínre hozásához. Az adatösszekötő előre létrehozott irányítópultokat biztosít, amelyekkel az elemzők betekintést nyerhetnek az e-mail alapú fenyegetésekbe, segítséget nyújtanak az incidensek korrelációjában, és csökkenthetik a vizsgálati válaszidőket az egyéni riasztási képességekkel együtt. Mimecast termékek és szolgáltatások szükségesek:

  • Mimecast biztonságos e-mail-átjáró
  • Mimecast Data Leak Prevention

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) MimecastSIEM_CL
MimecastDLP_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Mimecast

Példák lekérdezésekre

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Előfeltételek

A Mimecast Secure Email Gatewayrel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Mimecast API hitelesítő adatai: Az integráció konfigurálásához a következő információkra van szüksége:
  • mimecastEmail: Dedikált Mimecast-rendszergazdai felhasználó e-mail-címe
  • mimecastPassword: A dedikált Mimecast rendszergazdai felhasználó jelszava
  • mimecastAppId: A Mimecast-ben regisztrált Microsoft Sentinel-alkalmazás API-alkalmazásazonosítója
  • mimecastAppKey: A Mimecast-ben regisztrált Microsoft Sentinel-alkalmazás API-alkalmazáskulcsa
  • mimecastAccessKey: Hozzáférési kulcs a dedikált Mimecast rendszergazdai felhasználóhoz
  • mimecastSecretKey: Titkos kulcs a dedikált Mimecast rendszergazdai felhasználóhoz
  • mimecastBaseURL: Mimecast Regional API Base URL

A Mimecast alkalmazásazonosítója, az alkalmazáskulcs, valamint a dedikált Mimecast rendszergazdai felhasználó hozzáférési kulcsa és titkos kulcsai a Mimecast Rendszergazda istration konzolon keresztül érhetők el: Rendszergazda istration | Szolgáltatások | API- és platformintegrációk.

A Mimecast API Alap URL-címe az egyes régiókhoz itt található: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Erőforráscsoport: Létre kell hoznia egy erőforráscsoportot egy használni kívánt előfizetéssel.
  • Functions-alkalmazás: Az összekötő használatához regisztrálnia kell egy Azure-alkalmazás
  1. Alkalmazásazonosító
  2. Bérlőazonosító
  3. Ügyfél-azonosító
  4. Titkos ügyfélkulcs

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik egy Mimecast API-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

Configuration:

1. LÉPÉS – A Mimecast API konfigurációs lépései

Lépjen az Azure Portalra ---> Alkalmazásregisztrációk ---> [your_app] ---> Tanúsítványok és titkos kódok ---> Új ügyféltitkot, és hozzon létre egy új titkos kulcsot (mentse az értéket biztonságos helyre, mert később nem fogja tudni megtekinteni)

2. LÉPÉS – A Mimecast API Csatlakozás or üzembe helyezése

FONTOS: A Mimecast API-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (amely a következőkből másolható), valamint a Mimecast API engedélyezési kulcsával vagy jogkivonatával, amely könnyen elérhető.

A Mimecast biztonságos e-mail-átjáró adatainak Csatlakozás or üzembe helyezése:

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Írja be a következő mezőket:

  • appName: Egyedi sztring, amelyet az alkalmazás azonosítójaként használunk az Azure-platformon
  • objectId: Az Azure Portal ---> Az Azure Active Directory ---> további információk ---> profil -----> objektumazonosítója
  • app Elemzések Location(alapértelmezett): westeurope
  • mimecastEmail: A dedikált felhasználó e-mail-címe ehhez az integraionhoz
  • mimecastPassword: Jelszó dedikált felhasználóhoz
  • mimecastAppId: A Mimecastben regisztrált Microsoft Sentinel alkalmazás alkalmazásazonosítója
  • mimecastAppKey: Alkalmazáskulcs a Mimecastben regisztrált Microsoft Sentinel alkalmazásból
  • mimecastAccessKey: Hozzáférési kulcs a dedikált Mimecast-felhasználóhoz
  • mimecastSecretKey: Titkos kulcs dedikált Mimecast-felhasználóhoz
  • mimecastBaseURL: Regional Mimecast API Base URL
  • activeDirectoryAppId: Azure Portal ---> Alkalmazásregisztrációk ---> [your_app] ---> alkalmazásazonosítója
  • activeDirectoryAppSecret: Azure Portal ---> Alkalmazásregisztrációk ---> [your_app] ---> Tanúsítványok és titkos kódok ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics-munkaterületek ---> [Az Ön munkaterülete] ---> Ügynökök ---> munkaterület-azonosító (vagy a munkaterületazonosító felülről másolható)
  • workspaceKey: Azure Portal ---> Log Analytics-munkaterületek ---> [Saját munkaterület] ---> Ügynökök ---> elsődleges kulcs (vagy másolhatja a workspaceKey-t fentről)
  • Alkalmazás Elemzések WorkspaceResourceID: Azure Portal ---> Log Analytics-munkaterületek ---> [Saját munkaterület] ---> Tulajdonságok ---> erőforrás-azonosító

Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .

  1. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  2. Kattintson a Vásárlás gombra az üzembe helyezéshez.

  3. Lépjen az Azure Portalra ---> Erőforráscsoportok ---> [your_resource_group] ---> [appName](típus: Tárfiók) ---> Storage Explorer ---> BLOBTÁROLÓK ---> SIEM ellenőrzőpontok ---> Üres fájl feltöltése és létrehozása checkpoint.txt nevű gépen, dlp-checkpoint.txt és válassza ki feltöltésre (ez úgy történik, hogy a SIEM-naplók date_range konzisztens állapotban legyenek tárolva)

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.