Partage via

Connecteur Mimecast Targeted Threat Protection (en utilisant Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur de données pour Mimecast Targeted Threat Protection offre aux clients une visibilité sur des événements de sécurité liés aux technologies d’inspection Targeted Threat Protection au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants :

  • URL Protect
  • Impersonation Protect
  • Attachment Protect

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Mimecast

Exemples de requête

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer avec Mimecast Targeted Threat Protection (en utilisant Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
  • Informations d’identification/autorisations REST API : vous devez avoir les informations suivantes pour configurer l’intégration :
  • mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié
  • mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié
  • mimecastAppId : ID de l’application d’API de l’application Microsoft Sentinel Mimecast inscrite avec Mimecast
  • mimecastAppKey : clé de l’application d’API de l’application Microsoft Sentinel Mimecast inscrite avec Mimecast
  • mimecastAccessKey : clé d’accès de l’utilisateur administrateur Mimecast dédié
  • mimecastSecretKey : clé secrète de l’utilisateur administrateur Mimecast dédié
  • mimecastBaseURL : URL de base de l’API régionale Mimecast

Vous pouvez obtenir l’ID de l’application Mimecast, la clé de l’application, ainsi que la clé d’accès et les clés secrètes de l’utilisateur administrateur Mimecast dédié via la console d’administration Mimecast : Administration | Services | API et intégrations de plateforme.

L’URL de base de l’API Mimecast de chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Instructions d’installation du fournisseur

Resource group

Vous devez créer un groupe de ressources avec un abonnement que vous allez utiliser.

Application de fonctions

Vous devez avoir une application Azure App inscrite que ce connecteur va utiliser

  1. ID d’application
  2. ID client
  3. ID client
  4. Clé secrète client

Remarque

Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Configuration :

ÉTAPE 1 : configuration des étapes pour l’API Mimecast

Accédez à Portail Azure ---> Inscriptions d’applications --->[votre_application] ---> Certificats et secrets ---> Nouvelle clé secrète client, puis créez un secret (enregistrez immédiatement la valeur dans un emplacement sécurisé, car vous ne pourrez pas en afficher un aperçu plus tard)

ÉTAPE 2 : déployer le connecteur API Mimecast

IMPORTANT : avant de déployer le connecteur API Mimecast, ayez à disposition l’ID et la clé primaire de l’espace de travail (que vous pouvez copier à partir de ce qui suit), ainsi que le jeton ou la ou les clés d’autorisation d’API de Mimecast.

Déployez le connecteur de données Mimecast Targeted Threat Protection :

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez les champs suivants :

  • appName : chaîne unique à utiliser comme ID pour l’application dans la plateforme Azure
  • objectId : Portail Azure ---> Azure Active Directory ---> Autres informations ---> Profil -----> ID d’objet
  • appInsightsLocation(default) : westeurope
  • mimecastEmail : adresse e-mail d’un utilisateur dédié pour cette intégration
  • mimecastPassword : mot de passe pour l’utilisateur dédié
  • mimecastAppId : ID de l’application de l’application Microsoft Sentinel inscrite avec Mimecast
  • mimecastAppKey : clé d’application de l’application Microsoft Sentinel inscrite avec Mimecast
  • mimecastAccessKey : clé d’accès de l’utilisateur Mimecast dédié
  • mimecastSecretKey : clé secrète de l’utilisateur Mimecast dédié
  • mimecastBaseURL : URL de base de l’API Mimecast régionale
  • activeDirectoryAppId : Portail Azure ---> Inscriptions d’applications ---> [votre_application] ---> ID d’application
  • activeDirectoryAppSecret : Portail Azure ---> Inscriptions d’applications ---> [votre_application] ---> Certificates et secrets ---> [votre_secret_d’application]
  • workspaceId : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> ID d’espace de travail (vous pouvez également copier le workspaceId indiqué ci-dessus)
  • workspaceKey : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> Clé primaire (vous pouvez également copier le workspaceKey indiqué ci-dessus)
  • AppInsightsWorkspaceResourceID : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Propriétés ---> ID de ressource

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.

  1. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  2. Cliquez sur Acheter pour déployer.

  3. Accédez à Portail Azure ---> Groupes de ressources ---> [votre_groupe_de_ressources] ---> [appName](type : Compte de stockage) ---> Explorateur Stockage ---> CONTENEURS D’OBJETS BLOB ---> Points de contrôleTTP ---> Chargez et créez des fichiers vides sur votre ordinateur appelés attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt, puis sélectionnez-les pour le chargement (vous effectuez cette opération pour que les valeurs date_range des journaux TTP soient stockées dans un état cohérent)

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.