Connector „Mimecast Targeted Threat Protection“ (mit Azure Functions) für Microsoft Sentinel

  • Artikel

Der Datenconnector für Mimecast Targeted Threat Protection bietet Kunden die Sichtbarkeit von Sicherheitsereignissen im Zusammenhang mit den Targeted Threat Protection-Inspektionstechnologien in Microsoft Sentinel. Der Datenconnector bietet vordefinierte Dashboards, mit denen Analysten Einblicke in E-Mail-basierte Bedrohungen anzeigen können, die Korrelation von Vorfällen unterstützen und die Untersuchungsreaktionszeiten reduzieren können, die mit benutzerdefinierten Warnungsfunktionen verbunden sind.
Die im Connector enthaltenen Mimecast-Produkte sind:

  • URL Protect
  • Impersonation Protect
  • Attachment Protect

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Mimecast

Abfragebeispiele

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Mimecast Targeted Threat Protection (mit Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • REST-API-Anmeldeinformationen/-Berechtigungen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
  • mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
  • mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
  • mimecastAppId: API-Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
  • mimecastAppKey: API-Anwendungsschlüssel der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
  • mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastBaseURL: Basis-URL der regionalen Mimecast-API

Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie der Zugriffsschlüssel und die geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole bezogen werden: Verwaltung | Dienste | API- und Plattformintegrationen.

Die Basis-URL der Mimecast-API für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Installationsanweisungen des Anbieters

Resource group

Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.

Functions-App

Sie müssen über eine Azure-App verfügen, die für diesen Connector registriert ist, um diesen Connector verwenden zu können.

  1. Anwendungs-ID
  2. Mandanten-ID
  3. Client-ID
  4. Geheimer Clientschlüssel

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit einer Mimecast-API her, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [Ihre_App] ---> Zertifikate und Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie einen neuen geheimen Schlüssel (speichern Sie den Wert an einem sicheren Ort, da Sie ihn später nicht in der Vorschau anzeigen können)

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Halten Sie für die Bereitstellung des Mimecast-API-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie den bzw. die Autorisierungsschlüssel oder Token der Mimecast-API bereit.

Bereitstellen des Datenconnectors „Mimecast Targeted Threat Protection“:

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Füllen Sie die folgenden Felder aus:

  • appName: Eindeutige Zeichenfolge, die als ID für die App auf der Azure-Plattform verwendet wird
  • objectId: Azure-Portal ---> Azure Active Directory ---> weitere Informationen ---> Profil -----> Objekt-ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: E-Mail-Adresse des dedizierten Benutzers für diese Integration
  • mimecastPassword: Kennwort für dedizierten Benutzer
  • mimecastAppId: Anwendungs-ID aus der bei Mimecast registrierten Microsoft Sentinel-App
  • mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
  • mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
  • mimecastSecretKey: Geheimer Schlüssel für dedizierten Mimecast-Benutzer
  • mimecastBaseURL: Basis-URL der regionalen Mimecast-API
  • activeDirectoryAppId: Azure-Portal ---> App-Registrierungen ---> [Ihre_App] ---> Anwendungs-ID
  • activeDirectoryAppSecret: Azure-Portal ---> App-Registrierungen ---> [Ihre_App] ---> Zertifikate und Geheimnisse ---> [Ihr_App_Geheimnis]
  • workspaceId: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Arbeitsbereichs-ID (oder Sie können „workspaceId“ von oben kopieren)
  • workspaceKey: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Primärschlüssel (oder Sie können „workspaceKey“ von oben kopieren)
  • AppInsightsWorkspaceResourceID: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Eigenschaften ---> Ressourcen-ID

Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

  1. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  2. Klicken Sie zum Bereitstellen auf Kaufen.

  3. Wechseln Sie zu Azure-Portal ---> Ressourcengruppen ---> [Ihre_Ressourcengruppe] ---> [appName](Typ: Speicherkonto) ---> Speicher-Explorer ---> BLOB-CONTAINER ---> TTP-Prüfpunkte ---> Hochladen, und erstellen Sie leere Dateien auf Ihrem Computer namens „attachment-checkpoint.txt“, „impersonation-checkpoint.txt“, „url-checkpoint.txt“, und wählen Sie sie zum Hochladen aus (dies geschieht, damit „date_range“ für TTP-Protokolle in einem konsistenten Zustand gespeichert werden)

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.