Microsoft için Mimecast Intelligence - Microsoft Sentinel için Microsoft Sentinel (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Microsoft için Mimecast Intelligence veri bağlayıcısı, analistlerin e-posta tabanlı tehditlerle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolarla Mimecast'ın e-posta denetleme teknolojilerinden seçilmiş bölgesel tehdit bilgileri sağlar.
Mimecast ürünleri ve özellikleri gerekli:

  • Mimecast Güvenli E-posta Ağ Geçidi
  • Mimecast Threat Intelligence

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları Event(ThreatIntelligenceIndicator)
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Mimecast

Sorgu örnekleri

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Önkoşullar

Microsoft için Mimecast Intelligence ile tümleştirmek için - Microsoft Sentinel (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Mimecast API kimlik bilgileri: Tümleştirmeyi yapılandırmak için aşağıdaki bilgi parçalarına sahip olmanız gerekir:
  • mimecastEmail: Ayrılmış bir Mimecast yönetici kullanıcısının e-posta adresi
  • mimecastPassword: Ayrılmış Mimecast yönetici kullanıcısının parolası
  • mimecastAppId: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Kimliği
  • mimecastAppKey: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Anahtarı
  • mimecastAccessKey: Ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı
  • mimecastSecretKey: Ayrılmış Mimecast yönetici kullanıcısı için Gizli Anahtar
  • mimecastBaseURL: Mimecast Bölgesel API Temel URL'si

Mimecast Uygulama Kimliği, Uygulama Anahtarı ve ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı ve Gizli Anahtarlar, Mimecast Yönetici istration Konsolu: Yönetici istration | Hizmetler | API ve Platform Tümleştirmeleri.

Her bölge için Mimecast API Temel URL'si burada belgelenmiştir: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Kaynak grubu: Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.
  • İşlevler uygulaması: Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir
  • Uygulama Kimliği
  • Kiracı Kimliği
  • İstemci Kimliği
  • İstemci Gizli Anahtarı

Satıcı yükleme yönergeleri

Dekont

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın. (İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

[your_app]> Uygulama kayıtları ---> ---> --- Sertifikalar ve gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlan veya dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Mimecast API yetkilendirme anahtarlarını veya Belirtecini hazır olarak kullanabilirsiniz.

Microsoft için Mimecast Intelligence'ı etkinleştirme - Microsoft Sentinel Bağlan or:

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Aşağıdaki alanları girin:

    • appName: Azure platformunda uygulamanın kimliği olarak kullanılacak benzersiz dize
    • objectId: Azure portal ---> Azure Active Directory --- profil -----> nesne kimliği --->> daha fazla bilgi
    • app Analizler Location(varsayılan): westeurope
    • mimecastEmail: Bu dağıtım için ayrılmış kullanıcının e-posta adresi
    • mimecastPassword: Ayrılmış kullanıcı parolası
    • mimecastAppId: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından uygulama kimliği
    • mimecastAppKey: Microsoft Sentinel uygulamasından Mimecast ile kaydedilen Uygulama Anahtarı
    • mimecastAccessKey: Ayrılmış Mimecast kullanıcısı için Erişim Anahtarı
    • mimecastSecretKey: Ayrılmış Mimecast kullanıcısı için Gizli Anahtar
    • mimecastBaseURL: Bölgesel Mimecast API'si Temel URL'si
    • activeDirectoryAppId: Azure portal --- Uygulama kayıtları --->> [your_app] ---> Uygulama Kimliği
    • activeDirectoryAppSecret: Azure portal ---> Uygulama kayıtları ---> [your_app] ---> Sertifikalar ve gizli diziler ---> [your_app_secret]

    Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

  6. [your_resource_group] --- --->> [appName](tür: Depolama hesap) ---> Azure portal --- Kaynak grupları'na gidin ---> Depolama Explorer ---> BLOB KAPSAYICILAR ---> TIR denetim noktaları ---> Checkpoint.txt adlı makinenizde boş dosya yükleyip oluşturun ve karşıya yüklemek için dosyayı seçin (bu işlem, TIR günlükleri için date_range tutarlı durumda depolanması için yapılır)

Ek yapılandırma:

BağlanTehdit Bilgileri Platformları Veri Bağlan veya. Bağlayıcı sayfasındaki yönergeleri izleyin ve bağlan düğmesine tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.