مشاركة عبر

Mimecast Intelligence ل Microsoft - موصل Microsoft Sentinel (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل البيانات ل Mimecast Intelligence ل Microsoft تحليل ذكي للمخاطر الإقليمية منسقا من تقنيات فحص البريد الإلكتروني الخاصة ب Mimecast مع لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض تفاصيل التهديدات المستندة إلى البريد الإلكتروني والمساعدة في ارتباط الحوادث وتقليل أوقات الاستجابة للتحقيق.
منتجات وميزات Mimecast المطلوبة:

  • بوابة البريد الإلكتروني الآمنة Mimecast
  • Mimecast Threat Intelligence

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics Event(ThreatIntelligenceIndicator)
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Mimecast

عينات الاستعلام

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Mimecast Intelligence ل Microsoft - Microsoft Sentinel (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد واجهة برمجة تطبيقات Mimecast: تحتاج إلى الحصول على أجزاء المعلومات التالية لتكوين التكامل:
  • mimecastEmail: عنوان البريد الإلكتروني لمستخدم مسؤول Mimecast مخصص
  • mimecastPassword: كلمة المرور لمستخدم مسؤول Mimecast المخصص
  • mimecastAppId: معرف تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم مسؤول Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم مسؤول Mimecast المخصص
  • mimecastBaseURL: عنوان URL الإقليمي لواجهة برمجة تطبيقات Mimecast

يمكن الحصول على معرف تطبيق Mimecast ومفتاح التطبيق، إلى جانب مفتاح الوصول والمفاتيح السرية لمستخدم مسؤول Mimecast المخصص عبر وحدة تحكم تسجيل مسؤول Mimecast: مسؤول istration | الخدمات | API و Platform Integrations.

تم توثيق عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast لكل منطقة هنا: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • مجموعة الموارد: تحتاج إلى مجموعة موارد تم إنشاؤها باستخدام اشتراك ستستخدمه.
  • تطبيق الوظائف: تحتاج إلى تسجيل تطبيق Azure لهذا الموصل لاستخدامه
  1. معرف التطبيق
  2. مُعرِّف المستأجر
  3. معرف العميل
  4. سر العميل

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

التكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Microsoft Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات والأسرار ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

الخطوة 2 - نشر Mimecast API الاتصال or

هام: قبل نشر موصل Mimecast API، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، المتوفر بسهولة.

تمكين Mimecast Intelligence ل Microsoft - Microsoft Sentinel الاتصال or:

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل الحقول التالية:

  • appName: سلسلة فريدة سيتم استخدامها كمعرف للتطبيق في النظام الأساسي ل Azure
  • objectId: مدخل Microsoft Azure ---> Azure Active Directory ---> المزيد من المعلومات ---> Profile -----> Object ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: عنوان البريد الإلكتروني للمستخدم المخصص لهذا النفور
  • mimecastPassword: كلمة المرور للمستخدم المخصص
  • mimecastAppId: معرف التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم Mimecast المخصص
  • mimecastBaseURL: عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast الإقليمية
  • activeDirectoryAppId: مدخل Microsoft Azure ---> تسجيلات التطبيق ---> [your_app] ---> Application ID
  • activeDirectoryAppSecret: مدخل Microsoft Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات والأسرار ---> [your_app_secret]
  • workspaceId: مدخل Microsoft Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> معرف مساحة العمل (أو يمكنك نسخ workspaceId من الأعلى)
  • workspaceKey: مدخل Microsoft Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> Primary Key (أو يمكنك نسخ workspaceKey من أعلى)
  • AppInsightsWorkspaceResourceID: مدخل Microsoft Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Properties ---> Resource ID

ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل.

  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  2. انقر فوق شراء للنشر.

  3. انتقل إلى مدخل Microsoft Azure ---> مجموعات الموارد ---> [your_resource_group] ---> [appName](type: Storage account) ---> Storage Explorer ---> BLOB CONTAINERS ---> نقاط التحقق من TIR ---> تحميل وإنشاء ملف فارغ على جهازك المسمى checkpoint.txt وتحديده للتحميل (يتم ذلك بحيث يتم تخزين date_range لسجلات TIR في حالة متناسقة)

تكوين إضافي:

الاتصال إلى بيانات الأنظمة الأساسية للتحلال الذكي للمخاطر الاتصال أو. اتبع الإرشادات الموجودة في صفحة الموصل ثم انقر فوق زر الاتصال.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.