Łącznik Mimecast Secure Email Gateway (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych dla usługi Mimecast Secure Email Gateway umożliwia łatwe zbieranie dzienników z bramy bezpiecznej poczty e-mail w celu uzyskania szczegółowych informacji o wiadomościach e-mail i aktywności użytkownika w usłudze Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji o zagrożeniach opartych na wiadomościach e-mail, pomoc w korelacji zdarzeń i skrócenie czasów reagowania na badanie w połączeniu z niestandardowymi funkcjami alertów. Wymagane produkty i funkcje mimecast:

  • Brama bezpiecznej poczty e-mail mimecast
  • Zapobieganie wyciekom danych mimecast

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics MimecastSIEM_CL
MimecastDLP_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Mimecast

Przykłady zapytań

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z usługą Mimecast Secure Email Gateway (przy użyciu usługi Azure Functions), upewnij się, że:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: adres e-mail dedykowanego użytkownika administratora mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora mimecast
  • mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora mimecast
  • mimecastBaseURL: adres URL bazy interfejsu API regionalnego mimecast

Identyfikator aplikacji mimecast, klucz aplikacji wraz z kluczem dostępu i kluczem tajnym dla dedykowanego użytkownika administratora mimecast można uzyskać za pośrednictwem konsoli mimecast Administracja istration: Administracja istration | Usługi | Integracje interfejsów API i platform.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupa zasobów: musisz mieć grupę zasobów utworzoną przy użyciu subskrypcji, której zamierzasz użyć.
  • Aplikacja usługi Functions: aby używać tego łącznika, musisz zarejestrować aplikacja systemu Azure
  1. Identyfikator aplikacji
  2. Identyfikator dzierżawcy
  3. Identyfikator klienta
  4. Klucz tajny klienta

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Konfiguracja:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do witryny Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> Nowy wpis tajny klienta i utwórz nowy wpis tajny (zapisz wartość gdzieś bezpiecznie od razu, ponieważ nie będzie można wyświetlić podglądu później)

KROK 2. Wdrażanie Połączenie or interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także klucze autoryzacji interfejsu API mimecast lub token, łatwo dostępne.

Wdróż usługę Mimecast Secure Email Gateway Data Połączenie or:

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> więcej informacji ---> profil -----> identyfikator obiektu
  • app Szczegółowe informacje Location(ustawienie domyślne): westeurope
  • mimecastEmail: adres e-mail dedykowanego użytkownika dla tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL podstawowy interfejsu API mimecast
  • activeDirectoryAppId: identyfikator aplikacji --- witryny Azure Portal Rejestracje aplikacji --->> [your_app] --->
  • activeDirectoryAppSecret: witryna Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> [your_app_secret]
  • workspaceId: identyfikator obszaru roboczego usługi Log Analytics ---> witryny Azure Portal ---> [Obszar roboczy] ---> Agenci ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z powyższego)
  • workspaceKey: witryna Azure Portal ---> obszarów roboczych usługi Log Analytics ---> [Obszar roboczy] ---> Agenci ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • App Szczegółowe informacje WorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics --- [Obszar roboczy] --->> właściwości ---> identyfikator zasobu

Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.

  1. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do witryny Azure Portal ---> grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> kontenerów obiektów blob ---> punktów kontrolnych SIEM ---> przekazywanie i tworzenie pustego pliku na maszynie o nazwie checkpoint.txt, dlp-checkpoint.txt i wybranie go do przekazania (odbywa się to tak, aby date_range dla dzienników SIEM jest przechowywany w spójnym stanie)

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.