موصل Mimecast Targeted Threat Protection (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل البيانات ل Mimecast Targeted Threat Protection للعملاء إمكانية الرؤية في أحداث الأمان المتعلقة بتقنيات فحص الحماية من التهديدات المستهدفة داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على التهديدات المستندة إلى البريد الإلكتروني، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة.
منتجات Mimecast المضمنة داخل الموصل هي:

  • حماية عنوان URL
  • حماية انتحال الهوية
  • حماية المرفقات

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Mimecast

عينات الاستعلام

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Mimecast Targeted Threat Protection (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: تحتاج إلى الحصول على أجزاء المعلومات التالية لتكوين التكامل:
  • mimecastEmail: عنوان البريد الإلكتروني لمستخدم مسؤول Mimecast مخصص
  • mimecastPassword: كلمة المرور لمستخدم مسؤول Mimecast المخصص
  • mimecastAppId: معرف تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم مسؤول Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم مسؤول Mimecast المخصص
  • mimecastBaseURL: عنوان URL الإقليمي لواجهة برمجة تطبيقات Mimecast

يمكن الحصول على معرف تطبيق Mimecast ومفتاح التطبيق، إلى جانب مفتاح الوصول والمفاتيح السرية لمستخدم مسؤول Mimecast المخصص عبر وحدة تحكم تسجيل مسؤول Mimecast: مسؤول istration | الخدمات | API و Platform Integrations.

تم توثيق عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast لكل منطقة هنا: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

إرشادات تثبيت المورد

مجموعة الموارد

تحتاج إلى مجموعة موارد تم إنشاؤها باستخدام اشتراك ستستخدمه.

تطبيق الوظائف

تحتاج إلى تسجيل تطبيق Azure لهذا الموصل لاستخدامه

  1. معرف التطبيق
  2. مُعرِّف المستأجر
  3. معرف العميل
  4. سر العميل

إشعار

يستخدم هذا الموصل Azure Functions للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

التكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Microsoft Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات والأسرار ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

الخطوة 2 - نشر Mimecast API الاتصال or

هام: قبل نشر موصل Mimecast API، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، المتوفر بسهولة.

انشر الاتصال بيانات الحماية من التهديدات المستهدفة Mimecast:

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل الحقول التالية:

  • appName: سلسلة فريدة سيتم استخدامها كمعرف للتطبيق في النظام الأساسي ل Azure
  • objectId: مدخل Microsoft Azure ---> Azure Active Directory ---> المزيد من المعلومات ---> Profile -----> Object ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: عنوان البريد الإلكتروني للمستخدم المخصص لهذا النفور
  • mimecastPassword: كلمة المرور للمستخدم المخصص
  • mimecastAppId: معرف التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم Mimecast المخصص
  • mimecastBaseURL: عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast الإقليمية
  • activeDirectoryAppId: مدخل Microsoft Azure ---> تسجيلات التطبيق ---> [your_app] ---> Application ID
  • activeDirectoryAppSecret: مدخل Microsoft Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات والأسرار ---> [your_app_secret]
  • workspaceId: مدخل Microsoft Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> معرف مساحة العمل (أو يمكنك نسخ workspaceId من الأعلى)
  • workspaceKey: مدخل Microsoft Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> Primary Key (أو يمكنك نسخ workspaceKey من أعلى)
  • AppInsightsWorkspaceResourceID: مدخل Microsoft Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Properties ---> Resource ID

ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل.

  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  2. انقر فوق شراء للنشر.

  3. انتقل إلى مدخل Microsoft Azure ---> مجموعات الموارد ---> [your_resource_group] ---> [appName](type: Storage account) ---> Storage Explorer ---> BLOB CONTAINERS ---> نقاط التحقق TTP ---> تحميل الملفات الفارغة وإنشائها على جهازك المسمى attachment-checkpoint.txt impersonation-checkpoint.txt url-checkpoint.txt وتحديدها للتحميل (يتم ذلك بحيث يتم تخزين date_range لسجلات TTP في حالة متسقة)

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.