Conector Mimecast Secure Email Gateway (usando o Azure Functions) para Microsoft Sentinel

Artigo
01/10/2024

O conector de dados do Mimecast Secure Email Gateway permite a coleta fácil de logs do Secure Email Gateway para exibir informações de email e atividades do usuário no Microsoft Sentinel. O conector de dados fornece painéis pré-criados para permitir que os analistas visualizem informações sobre ameaças baseadas em e-mail, auxiliem na correlação de incidentes e reduzam os tempos de resposta da investigação, juntamente com recursos de alerta personalizados. Os produtos e recursos Mimecast necessários:

Mimecast Secure Email Gateway
Prevenção de vazamento de dados Mimecast

Atributos do conector

Atributo do conector	Description
Tabela(s) do Log Analytics	MimecastSIEM_CL MimecastDLP_CL
Suporte às regras de coleta de dados	Sem suporte no momento
Com suporte por	Mimecast

Exemplos de consulta

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o Mimecast Secure Email Gateway (usando o Azure Functions), certifique-se de ter:

Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
Credenciais da API Mimecast: Você precisa ter as seguintes informações para configurar a integração:
mimecastEmail: Endereço de e-mail de um usuário administrador Mimecast dedicado
mimecastPassword: Senha para o usuário administrador Mimecast dedicado
mimecastAppId: ID do aplicativo API do aplicativo Mimecast Microsoft Sentinel registrado com Mimecast
mimecastAppKey: Chave de aplicativo API do aplicativo Mimecast Microsoft Sentinel registrado com Mimecast
mimecastAccessKey: Chave de acesso para o usuário administrador Mimecast dedicado
mimecastSecretKey: Chave secreta para o usuário administrador Mimecast dedicado
mimecastBaseURL: URL base da API regional do Mimecast

O ID do Aplicativo Mimecast, a Chave do Aplicativo, juntamente com a Chave de Acesso e as Chaves Secretas para o usuário administrador Mimecast dedicado podem ser obtidas através do Console de Administração do Mimecast: Administração | Serviços | Integrações de API e Plataforma.

A URL base da API Mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Grupo de recursos: você precisa ter um grupo de recursos criado com uma assinatura que você vai usar.
Aplicativo Functions: você precisa ter um Aplicativo do Azure registrado para que esse conector seja usado

ID do aplicativo
ID do locatário
Id do cliente
Segredo do cliente

Instruções de instalação do fornecedor

Observação

Esse conector usa o Azure Functions para se conectar a uma API Mimecast para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

Configuração:

PASSO 1 - Passos de configuração para a API Mimecast

Vá para o portal do Azure --- Registros de aplicativos --- [your_app] ---> Certificados e segredos --->>> Novo segredo do cliente e crie um novo segredo (salve o Valor em algum lugar seguro imediatamente porque você não poderá visualizá-lo mais tarde)

ETAPA 2 - Implantar o conector de API Mimecast

IMPORTANTE: Antes de implantar o conector da API Mimecast, tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (podem ser copiadas do seguinte), bem como a(s) chave(s) de autorização da API Mimecast ou o Token, prontamente disponíveis.

Implante o conector de dados do Mimecast Secure Email Gateway:

Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira os seguintes campos:
- appName: cadeia de caracteres exclusiva que será usada como id para o aplicativo na plataforma Azure
- objectId: portal do Azure --- Azure Active Directory --- mais informações --->>> ID do Perfil -----> do Objeto
- appInsightsLocation(padrão): westeurope
- mimecastEmail: Endereço de e-mail do usuário dedicado para esta integração
- mimecastPassword: Senha para usuário dedicado
- mimecastAppId: ID do aplicativo do aplicativo Microsoft Sentinel registrado com Mimecast
- mimecastAppKey: Chave de aplicativo do aplicativo Microsoft Sentinel registrado com Mimecast
- mimecastAccessKey: Chave de acesso para o usuário Mimecast dedicado
- mimecastSecretKey: Chave secreta para usuário Mimecast dedicado
- mimecastBaseURL: URL base da API Mimecast regional
- activeDirectoryAppId: portal do Azure --- Registros de aplicativo --- [your_app] --->>> ID do aplicativo
- activeDirectoryAppSecret: portal do Azure --- Registros de aplicativo --- [your_app] ---> Certificados & segredos --->>> [your_app_secret]
Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault.
Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.
Clique em Comprar para implantar.
Vá para o portal do Azure --- Grupos de recursos --- [your_resource_group] --- [appName](tipo: conta de armazenamento) --- Gerenciador de Armazenamento --- CONTÊINERES BLOB --- pontos de verificação SIEM --->>>>>> Carregue e crie um arquivo vazio em sua máquina chamado checkpoint.txt, dlp-checkpoint.txt e selecione-o para upload (isso é feito para que date_range para logs SIEM seja armazenado em estado consistente)>

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.