Conector Mimecast Secure Email Gateway (usando o Azure Functions) para Microsoft Sentinel
O conector de dados do Mimecast Secure Email Gateway permite a coleta fácil de logs do Secure Email Gateway para exibir informações de email e atividades do usuário no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem informações sobre ameaças baseadas em e-mail, auxiliem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados. Os produtos e recursos Mimecast necessários:
- Mimecast Secure Email Gateway
- Prevenção de vazamento de dados Mimecast
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | MimecastSIEM_CL MimecastDLP_CL |
Suporte às regras de coleta de dados | Sem suporte no momento |
Com suporte por | Mimecast |
Exemplos de consulta
MimecastSIEM_CL
MimecastSIEM_CL
| sort by TimeGenerated desc
MimecastDLP_CL
MimecastDLP_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Mimecast Secure Email Gateway (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais da API Mimecast: Você precisa ter as seguintes informações para configurar a integração:
- mimecastEmail: Endereço de e-mail de um usuário administrador Mimecast dedicado
- mimecastPassword: Senha para o usuário administrador Mimecast dedicado
- mimecastAppId: ID do aplicativo API do aplicativo Mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAppKey: Chave de aplicativo API do aplicativo Mimecast Microsoft Sentinel registrado com Mimecast
- mimecastAccessKey: Chave de acesso para o usuário administrador Mimecast dedicado
- mimecastSecretKey: Chave secreta para o usuário administrador Mimecast dedicado
- mimecastBaseURL: URL base da API regional do Mimecast
O ID do Aplicativo Mimecast, a Chave do Aplicativo, juntamente com a Chave de Acesso e as Chaves Secretas para o usuário administrador Mimecast dedicado podem ser obtidas através do Console de Administração do Mimecast: Administração | Serviços | Integrações de API e Plataforma.
A URL base da API Mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupo de recursos: você precisa ter um grupo de recursos criado com uma assinatura que você vai usar.
- Aplicativo Functions: você precisa ter um Aplicativo do Azure registrado para que esse conector seja usado
- ID do aplicativo
- ID do locatário
- Id do cliente
- Segredo do cliente
Instruções de instalação do fornecedor
Observação
Esse conector usa o Azure Functions para se conectar a uma API Mimecast para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Configuração:
PASSO 1 - Passos de configuração para a API Mimecast
Vá para o portal do Azure --- Registros de aplicativos --- [your_app] ---> Certificados e segredos --->>> Novo segredo do cliente e crie um novo segredo (salve o Valor em algum lugar seguro imediatamente porque você não poderá visualizá-lo mais tarde)
ETAPA 2 - Implantar o conector de API Mimecast
IMPORTANTE: Antes de implantar o conector da API Mimecast, tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (podem ser copiadas do seguinte), bem como a(s) chave(s) de autorização da API Mimecast ou o Token, prontamente disponíveis.
Implante o conector de dados do Mimecast Secure Email Gateway:
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira os seguintes campos:
- appName: cadeia de caracteres exclusiva que será usada como id para o aplicativo na plataforma Azure
- objectId: portal do Azure --- Azure Active Directory --- mais informações --->>> ID do Perfil -----> do Objeto
- appInsightsLocation(padrão): westeurope
- mimecastEmail: Endereço de e-mail do usuário dedicado para esta integração
- mimecastPassword: Senha para usuário dedicado
- mimecastAppId: ID do aplicativo do aplicativo Microsoft Sentinel registrado com Mimecast
- mimecastAppKey: Chave de aplicativo do aplicativo Microsoft Sentinel registrado com Mimecast
- mimecastAccessKey: Chave de acesso para o usuário Mimecast dedicado
- mimecastSecretKey: Chave secreta para usuário Mimecast dedicado
- mimecastBaseURL: URL base da API Mimecast regional
- activeDirectoryAppId: portal do Azure --- Registros de aplicativo --- [your_app] --->>> ID do aplicativo
- activeDirectoryAppSecret: portal do Azure --- Registros de aplicativo --- [your_app] ---> Certificados & segredos --->>> [your_app_secret]
Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o esquema
@Microsoft.KeyVault(SecretUri={Security Identifier})
no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault.Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.
Clique em Comprar para implantar.
Vá para o portal do Azure --- Grupos de recursos --- [your_resource_group] --- [appName](tipo: conta de armazenamento) --- Gerenciador de Armazenamento --- CONTÊINERES BLOB --- pontos de verificação SIEM --->>>>>> Carregue e crie um arquivo vazio em sua máquina chamado checkpoint.txt, dlp-checkpoint.txt e selecione-o para upload (isso é feito para que date_range para logs SIEM seja armazenado em estado consistente)>
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.