Mimecast Intelligence pour Microsoft – Connecteur Microsoft Sentinel (en utilisant Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur de données pour Mimecast Intelligence pour Microsoft offre une veille des menaces régionale à partir des technologies d’inspection des e-mails de Mimecast avec des tableaux de bord pré-créés afin de permettre aux analystes de consulter des insights sur les menaces basées sur les e-mails, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes.
Fonctionnalités et produits Mimecast requis :

  • Mimecast Secure Email Gateway
  • Mimecast Threat Intelligence

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Event(ThreatIntelligenceIndicator)
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Mimecast

Exemples de requête

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Prérequis

Pour intégrer Mimecast Intelligence for Microsoft – Microsoft Sentinel (en utilisant Azure Functions), veillez à avoir les éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
  • Informations d’identification d’API Mimecast : vous devez avoir les informations suivantes pour configurer l’intégration :
  • mimecastEmail : adresse e-mail d’un utilisateur administrateur Mimecast dédié
  • mimecastPassword : mot de passe pour l’utilisateur administrateur Mimecast dédié
  • mimecastAppId : ID de l’application d’API de l’application Microsoft Sentinel Mimecast inscrite avec Mimecast
  • mimecastAppKey : clé de l’application d’API de l’application Microsoft Sentinel Mimecast inscrite avec Mimecast
  • mimecastAccessKey : clé d’accès de l’utilisateur administrateur Mimecast dédié
  • mimecastSecretKey : clé secrète de l’utilisateur administrateur Mimecast dédié
  • mimecastBaseURL : URL de base de l’API régionale Mimecast

Vous pouvez obtenir l’ID de l’application Mimecast, la clé de l’application, ainsi que la clé d’accès et les clés secrètes de l’utilisateur administrateur Mimecast dédié via la console d’administration Mimecast : Administration | Services | API et intégrations de plateforme.

L’URL de base de l’API Mimecast de chaque région est documentée ici : https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Groupe de ressources : vous devrez créer un groupe de ressources avec un abonnement que vous allez utiliser.
  • Application Functions : vous devez avoir une application Azure App inscrite que ce connecteur va utiliser
  1. ID d’application
  2. ID client
  3. ID client
  4. Clé secrète client

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Configuration :

ÉTAPE 1 : configuration des étapes pour l’API Mimecast

Accédez à Portail Azure ---> Inscriptions d’applications --->[votre_application] ---> Certificats et secrets ---> Nouvelle clé secrète client, puis créez un secret (enregistrez immédiatement la valeur dans un emplacement sécurisé, car vous ne pourrez pas en afficher un aperçu plus tard)

ÉTAPE 2 : déployer le connecteur API Mimecast

IMPORTANT : avant de déployer le connecteur API Mimecast, ayez à disposition l’ID et la clé primaire de l’espace de travail (que vous pouvez copier à partir de ce qui suit), ainsi que le jeton ou la ou les clés d’autorisation d’API de Mimecast.

Activer Mimecast Intelligence pour Microsoft – Connecteur Microsoft Sentinel :

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez les champs suivants :

  • appName : chaîne unique à utiliser comme ID pour l’application dans la plateforme Azure
  • objectId : Portail Azure ---> Azure Active Directory ---> Autres informations ---> Profil -----> ID d’objet
  • appInsightsLocation(default) : westeurope
  • mimecastEmail : adresse e-mail d’un utilisateur dédié pour cette intégration
  • mimecastPassword : mot de passe pour l’utilisateur dédié
  • mimecastAppId : ID de l’application de l’application Microsoft Sentinel inscrite avec Mimecast
  • mimecastAppKey : clé d’application de l’application Microsoft Sentinel inscrite avec Mimecast
  • mimecastAccessKey : clé d’accès de l’utilisateur Mimecast dédié
  • mimecastSecretKey : clé secrète de l’utilisateur Mimecast dédié
  • mimecastBaseURL : URL de base de l’API Mimecast régionale
  • activeDirectoryAppId : Portail Azure ---> Inscriptions d’applications ---> [votre_application] ---> ID d’application
  • activeDirectoryAppSecret : Portail Azure ---> Inscriptions d’applications ---> [votre_application] ---> Certificates et secrets ---> [votre_secret_d’application]
  • workspaceId : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> ID d’espace de travail (vous pouvez également copier le workspaceId indiqué ci-dessus)
  • workspaceKey : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Agents ---> Clé primaire (vous pouvez également copier le workspaceKey indiqué ci-dessus)
  • AppInsightsWorkspaceResourceID : Portail Azure ---> Espaces de travail Log Analytics ---> [Votre espace de travail] ---> Propriétés ---> ID de ressource

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.

  1. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  2. Cliquez sur Acheter pour déployer.

  3. Accédez à Portail Azure ---> Groupes de ressources ---> [votre_groupe_de_ressources] ---> [appName](type : Compte de stockage) ---> Explorateur Stockage ---> CONTENEURS D’OBJETS BLOB ---> Points de contrôle TIR ---> Chargez et créez un fichier vide sur votre ordinateur appelé checkpoint.txt, puis sélectionnez-le pour le chargement (vous effectuez cette opération pour que les valeurs date_range des journaux TIR soient stockées dans un état cohérent)

Configuration supplémentaire :

Connectez-vous à un connecteur de données Threat Intelligence Platforms. Suivez les instructions sur la page du connecteur, puis cliquez sur le bouton Connecter.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.