Connecteur Mimecast Audit & Authentication (en utilisant Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur de données pour Mimecast Audit & Authentication offre aux clients une visibilité sur les événements de sécurité liés aux événements d’audit et d’authentification au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur l’activité des utilisateurs, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants : Audit & Authentification

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics MimecastAudit_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Mimecast

Exemples de requête

MimecastAudit_CL

MimecastAudit_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer avec Mimecast Audit & Authentication (en utilisant Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
  • Informations d’identification d’API Mimecast : vous devez avoir les informations suivantes pour configurer l’intégration :
  • mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié
  • mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié
  • mimecastAppId : ID de l’application d’API de l’application Microsoft Sentinel Mimecast inscrite avec Mimecast
  • mimecastAppKey : clé de l’application d’API de l’application Microsoft Sentinel Mimecast inscrite avec Mimecast
  • mimecastAccessKey : clé d’accès de l’utilisateur administrateur Mimecast dédié
  • mimecastSecretKey : clé secrète de l’utilisateur administrateur Mimecast dédié
  • mimecastBaseURL : URL de base de l’API régionale Mimecast

Vous pouvez obtenir l’ID de l’application Mimecast, la clé de l’application, ainsi que la clé d’accès et les clés secrètes de l’utilisateur administrateur Mimecast dédié via la console d’administration Mimecast : Administration | Services | API et intégrations de plateforme.

L’URL de base de l’API Mimecast de chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Groupe de ressources : vous devrez créer un groupe de ressources avec un abonnement que vous allez utiliser.
  • Application Functions : vous devez avoir une application Azure App inscrite que ce connecteur va utiliser
  1. ID d’application
  2. ID client
  3. ID client
  4. Clé secrète client

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Configuration :

ÉTAPE 1 : configuration des étapes pour l’API Mimecast

Accédez à Portail Azure ---> Inscriptions d’applications --->[votre_application] ---> Certificats et secrets ---> Nouvelle clé secrète client, puis créez un secret (enregistrez immédiatement la valeur dans un emplacement sécurisé, car vous ne pourrez pas en afficher un aperçu plus tard)

ÉTAPE 2 : déployer le connecteur API Mimecast

IMPORTANT : avant de déployer le connecteur API Mimecast, ayez à disposition l’ID et la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que le jeton ou la ou les clés d’autorisation d’API de Mimecast.

Déployez le connecteur de données Mimecast Audit & Authentication :

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez les champs suivants :

  • appName : chaîne unique à utiliser comme ID pour l’application dans la plateforme Azure
  • objectId : Portail Azure ---> Azure Active Directory ---> Autres informations ---> Profil -----> ID d’objet
  • appInsightsLocation(default) : westeurope
  • mimecastEmail : adresse e-mail d’un utilisateur dédié pour cette intégration
  • mimecastPassword : mot de passe pour l’utilisateur dédié
  • mimecastAppId : ID de l’application de l’application Microsoft Sentinel inscrite avec Mimecast
  • mimecastAppKey : clé d’application de l’application Microsoft Sentinel inscrite avec Mimecast
  • mimecastAccessKey : clé d’accès de l’utilisateur Mimecast dédié
  • mimecastSecretKey : clé secrète de l’utilisateur Mimecast dédié
  • mimecastBaseURL : URL de base de l’API Mimecast régionale
  • activeDirectoryAppId : Portail Azure ---> Inscriptions d’applications ---> [votre_application] ---> ID d’application
  • activeDirectoryAppSecret : Portail Azure ---> Inscriptions d’applications ---> [votre_application] ---> Certificates et secrets ---> [votre_secret_d’application]
  • workspaceId : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> ID d’espace de travail (vous pouvez également copier le workspaceId indiqué ci-dessus)
  • workspaceKey : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> Clé primaire (vous pouvez également copier le workspaceKey indiqué ci-dessus)
  • AppInsightsWorkspaceResourceID : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Propriétés ---> ID de ressource

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.

  1. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  2. Cliquez sur Acheter pour déployer.

  3. Accédez à Portail Azure ---> Groupes de ressources ---> [votre_groupe_de_ressources] ---> [appName](type : Compte de stockage) ---> Explorateur Stockage ---> CONTENEURS D’OBJETS BLOB ---> Points de contrôle d’audit ---> Chargez et créez un fichier vide sur votre ordinateur appelé checkpoint.txt, puis sélectionnez-le pour le chargement (vous effectuez cette opération pour que les valeurs date_range des journaux SIEM soient stockées dans un état cohérent)

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.