Mimecast Intelligence für Microsoft – Microsoft Sentinel (mit Azure Functions)-Connector für Microsoft Sentinel

  • Artikel

Der Datenconnector für Mimecast Intelligence für Microsoft bietet regionale Bedrohungserkennungen, die von Mimecast-E-Mail-Inspektionstechnologien mit vordefinierten Dashboards zusammengestellt wurden, damit Analysten Einblicke in E-Mail-basierte Bedrohungen erhalten, bei der Korrelation von Vorfällen helfen und die Zeiten für Untersuchung und Reaktion reduzieren können.
Erforderliche Mimecast-Produkte und -Features:

  • Mimecast Secure Email Gateway
  • Mimecast Threat Intelligence

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Event(ThreatIntelligenceIndicator)
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Mimecast

Abfragebeispiele

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Mimecast Intelligence für Microsoft – Microsoft Sentinel (mit Azure Functions) sicher, dass Folgendes vorhanden ist:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Mimecast-API-Anmeldeinformationen: Sie müssen über die folgenden Informationen verfügen, um die Integration zu konfigurieren:
  • mimecastEmail: E-Mail-Adresse eines dedizierten Mimecast-Administratorbenutzers
  • mimecastPassword: Kennwort für den dedizierten Mimecast-Administratorbenutzer
  • mimecastAppId: API-Anwendungs-ID der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
  • mimecastAppKey: API-Anwendungsschlüssel der bei Mimecast registrierten Microsoft Sentinel-App für Mimecast
  • mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastSecretKey: Geheimer Schlüssel für den dedizierten Mimecast-Administratorbenutzer
  • mimecastBaseURL: Basis-URL der regionalen Mimecast-API

Die Mimecast-Anwendungs-ID, der Anwendungsschlüssel sowie der Zugriffsschlüssel und die geheimen Schlüssel für den dedizierten Mimecast-Administratorbenutzer können über die Mimecast-Verwaltungskonsole bezogen werden: Verwaltung | Dienste | API- und Plattformintegrationen.

Die Basis-URL der Mimecast-API für jede Region ist hier dokumentiert: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Ressourcengruppe: Sie müssen über eine Ressourcengruppe verfügen, die mit einem Abonnement erstellt wurde, das Sie verwenden möchten.
  • Funktions-App: Sie müssen über eine Azure-App verfügen, die für diesen Connector registriert ist, um diesen Connector verwenden zu können.
  1. Anwendungs-ID
  2. Mandanten-ID
  3. Client-ID
  4. Geheimer Clientschlüssel

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit einer Mimecast-API her, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Konfiguration:

SCHRITT 1: Konfigurationsschritte für die Mimecast-API

Wechseln Sie zu Azure-Portal ---> App-Registrierungen ---> [Ihre_App] ---> Zertifikate und Geheimnisse ---> Neuer geheimer Clientschlüssel, und erstellen Sie einen neuen geheimen Schlüssel (speichern Sie den Wert an einem sicheren Ort, da Sie ihn später nicht in der Vorschau anzeigen können)

SCHRITT 2: Bereitstellen des Mimecast-API-Connectors

WICHTIG: Halten Sie für die Bereitstellung des Mimecast-API-Connectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie den bzw. die Autorisierungsschlüssel oder Token der Mimecast-API bereit.

Mimecast Intelligence für Microsoft – Microsoft Sentinel-Connector aktivieren:

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Füllen Sie die folgenden Felder aus:

  • appName: Eindeutige Zeichenfolge, die als ID für die App auf der Azure-Plattform verwendet wird
  • objectId: Azure-Portal ---> Azure Active Directory ---> weitere Informationen ---> Profil -----> Objekt-ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: E-Mail-Adresse des dedizierten Benutzers für diese Integration
  • mimecastPassword: Kennwort für dedizierten Benutzer
  • mimecastAppId: Anwendungs-ID aus der bei Mimecast registrierten Microsoft Sentinel-App
  • mimecastAppKey: Anwendungsschlüssel aus der bei Mimecast registrierten Microsoft Sentinel-App
  • mimecastAccessKey: Zugriffsschlüssel für den dedizierten Mimecast-Benutzer
  • mimecastSecretKey: Geheimer Schlüssel für dedizierten Mimecast-Benutzer
  • mimecastBaseURL: Basis-URL der regionalen Mimecast-API
  • activeDirectoryAppId: Azure-Portal ---> App-Registrierungen ---> [Ihre_App] ---> Anwendungs-ID
  • activeDirectoryAppSecret: Azure-Portal ---> App-Registrierungen ---> [Ihre_App] ---> Zertifikate und Geheimnisse ---> [Ihr_App_Geheimnis]
  • workspaceId: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Arbeitsbereichs-ID (oder Sie können „workspaceId“ von oben kopieren)
  • workspaceKey: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Agents ---> Primärschlüssel (oder Sie können „workspaceKey“ von oben kopieren)
  • AppInsightsWorkspaceResourceID: Azure-Portal ---> Log Analytics-Arbeitsbereiche ---> [Ihr Arbeitsbereich] ---> Eigenschaften ---> Ressourcen-ID

Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

  1. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  2. Klicken Sie zum Bereitstellen auf Kaufen.

  3. Wechseln Sie zu Azure-Portal ---> Ressourcengruppen ---> [Ihre_Ressourcengruppe] ---> [appName](Typ: Speicherkonto) ---> Speicher-Explorer ---> BLOB-CONTAINER ---> TIR-Prüfpunkte ---> Hochladen, und erstellen Sie leere Dateien auf Ihrem Computer mit der Bezeichnung „checkpoint.txt“, und wählen Sie sie zum Hochladen aus (dies geschieht, damit „date_range“ für TIR-Protokolle in einem konsistenten Zustand gespeichert werden)

Zusätzliche Konfiguration:

Stellen Sie eine Verbindung zu einem Threat Intelligence-Plattformen-Datenconnector her. Folgen Sie den Anweisungen auf der Connectorseite, und klicken Sie dann auf die Schaltfläche „Verbinden“.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.