Łącznik Mimecast Targeted Threat Protection (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych programu Mimecast Targeted Threat Protection zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji ukierunkowanej ochrony przed zagrożeniami w usłudze Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji o zagrożeniach opartych na wiadomościach e-mail, pomoc w korelacji zdarzeń i skrócenie czasów reagowania na badanie w połączeniu z niestandardowymi funkcjami alertów.
Produkty Mimecast zawarte w łączniku to:

  • Ochrona adresu URL
  • Personifikacja Chroń
  • Ochrona załączników

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Mimecast

Przykłady zapytań

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację Mimecast Targeted Threat Protection (przy użyciu usługi Azure Functions), upewnij się, że:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: adres e-mail dedykowanego użytkownika administratora mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora mimecast
  • mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora mimecast
  • mimecastBaseURL: adres URL bazy interfejsu API regionalnego mimecast

Identyfikator aplikacji mimecast, klucz aplikacji wraz z kluczem dostępu i kluczem tajnym dla dedykowanego użytkownika administratora mimecast można uzyskać za pośrednictwem konsoli mimecast Administracja istration: Administracja istration | Usługi | Integracje interfejsów API i platform.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Instrukcje instalacji dostawcy

Grupa zasobów

Musisz mieć utworzoną grupę zasobów z subskrypcją, której zamierzasz użyć.

Aplikacja usługi Functions

Aby używać tego łącznika, musisz zarejestrować aplikacja systemu Azure

  1. Identyfikator aplikacji
  2. Identyfikator dzierżawcy
  3. Identyfikator klienta
  4. Klucz tajny klienta

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Konfiguracja:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do witryny Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> Nowy wpis tajny klienta i utwórz nowy wpis tajny (zapisz wartość gdzieś bezpiecznie od razu, ponieważ nie będzie można wyświetlić podglądu później)

KROK 2. Wdrażanie Połączenie or interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także klucze autoryzacji interfejsu API mimecast lub token, łatwo dostępne.

Wdróż program Mimecast Targeted Threat Protection Data Połączenie or:

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> więcej informacji ---> profil -----> identyfikator obiektu
  • app Szczegółowe informacje Location(ustawienie domyślne): westeurope
  • mimecastEmail: adres e-mail dedykowanego użytkownika dla tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL podstawowy interfejsu API mimecast
  • activeDirectoryAppId: identyfikator aplikacji --- witryny Azure Portal Rejestracje aplikacji --->> [your_app] --->
  • activeDirectoryAppSecret: witryna Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> [your_app_secret]
  • workspaceId: identyfikator obszaru roboczego usługi Log Analytics ---> witryny Azure Portal ---> [Obszar roboczy] ---> Agenci ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z powyższego)
  • workspaceKey: witryna Azure Portal ---> obszarów roboczych usługi Log Analytics ---> [Obszar roboczy] ---> Agenci ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • App Szczegółowe informacje WorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics --- [Obszar roboczy] --->> właściwości ---> identyfikator zasobu

Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.

  1. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do witryny Azure Portal ---> grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> kontenerów obiektów blob ---> punktów kontrolnych TTP ---> przekazywanie i tworzenie pustych plików na maszynie o nazwie attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt i wybranie ich do przekazania (jest to zrobione, aby date_range dzienników TTP są wykonywane przechowywane w stanie spójnym)

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.