Microsoft Sentinel için Mimecast Güvenli E-posta Ağ Geçidi (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Mimecast Güvenli E-posta Ağ Geçidi veri bağlayıcısı, Microsoft Sentinel'de e-posta içgörülerini ve kullanıcı etkinliğini ortaya çıkarabilmek için Güvenli E-posta Ağ Geçidi'nden kolay günlük toplama olanağı sağlar. Veri bağlayıcısı, analistlerin e-posta tabanlı tehditlere ilişkin içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar. Mimecast ürünleri ve özellikleri gerekli:

  • Mimecast Güvenli E-posta Ağ Geçidi
  • Mimecast Veri Sızıntısı Önleme

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları MimecastSIEM_CL
MimecastDLP_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Mimecast

Sorgu örnekleri

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Önkoşullar

Mimecast Güvenli E-posta Ağ Geçidi ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Mimecast API kimlik bilgileri: Tümleştirmeyi yapılandırmak için aşağıdaki bilgi parçalarına sahip olmanız gerekir:
  • mimecastEmail: Ayrılmış bir Mimecast yönetici kullanıcısının e-posta adresi
  • mimecastPassword: Ayrılmış Mimecast yönetici kullanıcısının parolası
  • mimecastAppId: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Kimliği
  • mimecastAppKey: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Anahtarı
  • mimecastAccessKey: Ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı
  • mimecastSecretKey: Ayrılmış Mimecast yönetici kullanıcısı için Gizli Anahtar
  • mimecastBaseURL: Mimecast Bölgesel API Temel URL'si

Mimecast Uygulama Kimliği, Uygulama Anahtarı ve ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı ve Gizli Anahtarlar, Mimecast Yönetici istration Konsolu: Yönetici istration | Hizmetler | API ve Platform Tümleştirmeleri.

Her bölge için Mimecast API Temel URL'si burada belgelenmiştir: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Kaynak grubu: Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.
  • İşlevler uygulaması: Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir
  1. Uygulama Kimliği
  2. Kiracı Kimliği
  3. İstemci Kimliği
  4. İstemci Gizli Anahtarı

Satıcı yükleme yönergeleri

Dekont

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

[your_app]> Uygulama kayıtları ---> ---> --- Sertifikalar ve gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlan veya dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Mimecast API yetkilendirme anahtarlarını veya Belirtecini hazır olarak kullanabilirsiniz.

Mimecast Güvenli E-posta Ağ Geçidi Veri Bağlan dağıtın veya:

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Aşağıdaki alanları girin:

    • appName: Azure platformunda uygulamanın kimliği olarak kullanılacak benzersiz dize
    • objectId: Azure portal ---> Azure Active Directory --- profil -----> nesne kimliği --->> daha fazla bilgi
    • app Analizler Location(varsayılan): westeurope
    • mimecastEmail: Bu dağıtım için ayrılmış kullanıcının e-posta adresi
    • mimecastPassword: Ayrılmış kullanıcı parolası
    • mimecastAppId: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından uygulama kimliği
    • mimecastAppKey: Microsoft Sentinel uygulamasından Mimecast ile kaydedilen Uygulama Anahtarı
    • mimecastAccessKey: Ayrılmış Mimecast kullanıcısı için Erişim Anahtarı
    • mimecastSecretKey: Ayrılmış Mimecast kullanıcısı için Gizli Anahtar
    • mimecastBaseURL: Bölgesel Mimecast API'si Temel URL'si
    • activeDirectoryAppId: Azure portal --- Uygulama kayıtları --->> [your_app] ---> Uygulama Kimliği
    • activeDirectoryAppSecret: Azure portal ---> Uygulama kayıtları ---> [your_app] ---> Sertifikalar ve gizli diziler ---> [your_app_secret]

    Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

  6. [your_resource_group] --->> [appName](tür: Depolama hesap) --- Azure portal --- Kaynak gruplarına gidin ---> Depolama> Explorer ---> BLOB KAPSAYICILAR --- SIEM denetim noktaları --->> Makinenizde checkpoint.txt adlı boş dosyayı karşıya yükleme ve oluşturma, dlp-checkpoint.txt dosyasını seçin ve karşıya yüklemek üzere seçin (bu işlem SIEM günlükleri için date_range tutarlı durumda depolanması için yapılır)

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.