Connecteur Mimecast Secure Email Gateway (en utilisant Azure Functions) pour Microsoft Sentinel
Le connecteur de données pour Mimecast Secure Email Gateway facilite la collecte de journaux à partir de Secure Email Gateway pour faire apparaître des insights sur les e-mails et l’activité des utilisateurs au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces liés aux e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées. Fonctionnalités et produits Mimecast requis :
- Mimecast Secure Email Gateway
- Mimecast Data Leak Prevention
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | MimecastSIEM_CL MimecastDLP_CL |
Support des Règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Mimecast |
Exemples de requête
MimecastSIEM_CL
MimecastSIEM_CL
| sort by TimeGenerated desc
MimecastDLP_CL
MimecastDLP_CL
| sort by TimeGenerated desc
Prérequis
Pour effectuer une intégration avec Mimecast Secure Email Gateway (en utilisant Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Informations d’identification d’API Mimecast : vous devez avoir les informations suivantes pour configurer l’intégration :
- mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié
- mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié
- mimecastAppId : ID de l’application d’API de l’application Microsoft Sentinel Mimecast inscrite avec Mimecast
- mimecastAppKey : clé de l’application d’API de l’application Microsoft Sentinel Mimecast inscrite avec Mimecast
- mimecastAccessKey : clé d’accès de l’utilisateur administrateur Mimecast dédié
- mimecastSecretKey : clé secrète de l’utilisateur administrateur Mimecast dédié
- mimecastBaseURL : URL de base de l’API régionale Mimecast
Vous pouvez obtenir l’ID de l’application Mimecast, la clé de l’application, ainsi que la clé d’accès et les clés secrètes de l’utilisateur administrateur Mimecast dédié via la console d’administration Mimecast : Administration | Services | API et intégrations de plateforme.
L’URL de base de l’API Mimecast de chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Groupe de ressources : vous devrez créer un groupe de ressources avec un abonnement que vous allez utiliser.
- Application Functions : vous devez avoir une application Azure App inscrite que ce connecteur va utiliser
- ID d’application
- ID client
- ID client
- Clé secrète client
Instructions d’installation du fournisseur
Remarque
Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Configuration :
ÉTAPE 1 : configuration des étapes pour l’API Mimecast
Accédez à Portail Azure ---> Inscriptions d’applications --->[votre_application] ---> Certificats et secrets ---> Nouvelle clé secrète client, puis créez un secret (enregistrez immédiatement la valeur dans un emplacement sécurisé, car vous ne pourrez pas en afficher un aperçu plus tard)
ÉTAPE 2 : déployer le connecteur API Mimecast
IMPORTANT : avant de déployer le connecteur API Mimecast, ayez à disposition l’ID et la clé primaire de l’espace de travail (que vous pouvez copier à partir de ce qui suit), ainsi que le jeton ou la ou les clés d’autorisation d’API de Mimecast.
Déployez le connecteur de données Mimecast Secure Email Gateway :
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Entrez les champs suivants :
- appName : chaîne unique à utiliser comme ID pour l’application dans la plateforme Azure
- objectId : Portail Azure ---> Azure Active Directory ---> Autres informations ---> Profil -----> ID d’objet
- appInsightsLocation(default) : westeurope
- mimecastEmail : adresse e-mail d’un utilisateur dédié pour cette intégration
- mimecastPassword : mot de passe pour l’utilisateur dédié
- mimecastAppId : ID de l’application de l’application Microsoft Sentinel inscrite avec Mimecast
- mimecastAppKey : clé d’application de l’application Microsoft Sentinel inscrite avec Mimecast
- mimecastAccessKey : clé d’accès de l’utilisateur Mimecast dédié
- mimecastSecretKey : clé secrète de l’utilisateur Mimecast dédié
- mimecastBaseURL : URL de base de l’API Mimecast régionale
- activeDirectoryAppId : Portail Azure ---> Inscriptions d’applications ---> [votre_application] ---> ID d’application
- activeDirectoryAppSecret : Portail Azure ---> Inscriptions d’applications ---> [votre_application] ---> Certificates et secrets ---> [votre_secret_d’application]
- workspaceId : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> ID d’espace de travail (vous pouvez également copier le workspaceId indiqué ci-dessus)
- workspaceKey : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> Clé primaire (vous pouvez également copier le workspaceKey indiqué ci-dessus)
- AppInsightsWorkspaceResourceID : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Propriétés ---> ID de ressource
Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma
@Microsoft.KeyVault(SecretUri={Security Identifier})
à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.
Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
Cliquez sur Acheter pour déployer.
Accédez à Portail Azure ---> Groupes de ressources ---> [votre_groupe_de_ressources] ---> [appName](type : Compte de stockage) ---> Explorateur Stockage ---> CONTENEURS D’OBJETS BLOB ---> Points de contrôle SIEM ---> Chargez et créez des fichiers vides sur votre ordinateur appelés checkpoint.txt, dlp-checkpoint.txt, puis sélectionnez-les pour le chargement (vous effectuez cette opération pour que les valeurs date_range des journaux SIEM soient stockées dans un état cohérent)
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.