Compartir a través de


Conector de Puerta de enlace de correo electrónico seguro de Mimecast (mediante Azure Functions) para Microsoft Sentinel

El conector de datos para Puerta de enlace de correo electrónico seguro de Mimecast permite recopilar fácilmente registros desde la Puerta de enlace de correo electrónico seguro para exponer información de correo electrónico y actividad del usuario en Microsoft Sentinel. El conector de datos proporciona paneles creados previamente para permitir a los analistas ver información sobre las amenazas basadas en correo electrónico, ayudar en la correlación de incidentes y reducir los tiempos de respuesta de investigación junto con las funcionalidades de alerta personalizadas. Productos y características de Mimecast necesarios:

  • Puerta de enlace de correo electrónico seguro de Mimecast
  • Prevención de pérdida de datos de Mimecast

Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics MimecastSIEM_CL
MimecastDLP_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Mimecast

Ejemplos de consultas

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con Puerta de enlace de correo electrónico seguro de Mimecast (mediante Azure Functions), asegúrese de que tiene:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
  • Credenciales de la API de Mimecast: Debe tener los siguientes fragmentos de información para configurar la integración:
  • mimecastEmail: Dirección de correo electrónico de un usuario administrador de Mimecast dedicado
  • mimecastPassword: contraseña para el usuario administrador de Mimecast dedicado
  • mimecastAppId: id. de aplicación de API de la aplicación Mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: Clave de aplicación de la API de la aplicación Mimecast Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: Clave de acceso para el usuario administrador de Mimecast dedicado
  • mimecastSecretKey: Clave secreta para el usuario administrador de Mimecast dedicado
  • mimecastBaseURL:Dirección URL base de la API regional de Mimecast

El Id. de aplicación de Mimecast, la clave de aplicación, junto con las claves de acceso y las claves secretas para el usuario administrador de Mimecast dedicado se pueden obtener a través de la consola de administración de Mimecast: Administración | Servicios | Integraciones de API y plataforma.

La dirección URL base de la API de Mimecast para cada región se documenta aquí: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupo de recursos: Debe tener un grupo de recursos creado con una suscripción que va a usar.
  • Aplicación de Functions: Debe tener una aplicación de Azure registrada para que este conector la use
  1. Identificador de aplicación
  2. Identificador de inquilino
  3. Id. de cliente
  4. Secreto del cliente

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a una API de Mimecast para extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

Configuración:

PASO 1: Pasos de configuración de la API de Mimecast

Vaya a Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados y secretos ---> Nuevo secreto de cliente y cree un nuevo secreto (Guarde el valor seguro inmediatamente porque no podrá obtener una vista previa posterior)

PASO 2: Implementación del conector de Mimecast API

IMPORTANTE: Antes de implementar el conector de la API de Mimecast, tenga el id. del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como las claves de autorización o token de la API de Mimecast, disponibles fácilmente.

Implemente el conector de datos de puerta de enlace de correo electrónico seguro de Mimecast:

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Introduzca los campos siguientes:

  • appName: Cadena única que se usará como identificador para la aplicación en la plataforma Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> más información ---> Perfil -----> Id. de objeto
  • appInsightsLocation(default): westeurope
  • mimecastEmail: Dirección de correo electrónico del usuario dedicado para esta integración
  • mimecastPassword: Contraseña para un usuario dedicado
  • mimecastAppId: id. de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
  • mimecastAppKey: Clave de aplicación de la aplicación Microsoft Sentinel registrada con Mimecast
  • mimecastAccessKey: Clave de acceso para el usuario de Mimecast dedicado
  • mimecastSecretKey: Clave secreta para el usuario de Mimecast dedicado
  • mimecastBaseURL: Dirección URL base de la API de Mimecast regional
  • activeDirectoryAppId: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> id. de aplicación
  • activeDirectoryAppSecret: Azure Portal ---> Registros de aplicaciones ---> [your_app] ---> Certificados y secretos ---> [your_app_secret]
  • workspaceId: Azure Portal ---> áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> Agentes ---> id. de área de trabajo (o puede copiar workspaceId desde arriba)
  • workspaceKey: Azure Portal ---> Áreas de trabajo de Log Analytics ---> [Su área de trabajo] --- Agentes --->> Clave principal (o puede copiar workspaceKey desde arriba)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> Áreas de trabajo de Log Analytics ---> [Su área de trabajo] ---> propiedades ---> Identificador de recurso

Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada.

  1. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

  2. Haga clic en Comprar para iniciar la implementación.

  3. Vaya a Azure Portal ---> Grupos de recursos ---> [your_resource_group] ---> [appName](tipo: Cuenta de almacenamiento) ---> Explorador de Storage ---> CONTENEDORES de BLOB ---> puntos de control de SIEM ---> Cargar y crear un archivo vacío en el equipo denominado checkpoint.txt, dlp-checkpoint.txt y seleccionarlo para cargarlo (esto se hace para que date_range para los registros de SIEM se almacenan en estado coherente)

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.