Mimecast Audit & Authentication (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A Mimecast Audit & Authentication adatösszekötője lehetővé teszi az ügyfelek számára a Microsoft Sentinelen belüli naplózási és hitelesítési eseményekhez kapcsolódó biztonsági események láthatóságát. Az adatösszekötő előre létrehozott irányítópultokat biztosít, amelyekkel az elemzők betekintést nyerhetnek a felhasználói tevékenységekbe, segítséget kaphatnak az incidensek korrelációjában, és csökkenthetik a vizsgálati válaszidőket az egyéni riasztási képességekkel együtt.
Az összekötőben található Mimecast-termékek a következők: Audit & Authentication
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
Csatlakozás or attribútum | Leírás |
---|---|
Log Analytics-tábla(ok) | MimecastAudit_CL |
Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
Támogatja: | Mimecast |
Példák lekérdezésekre
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
Előfeltételek
A Mimecast Audit & Authentication szolgáltatással való integrációhoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- Mimecast API hitelesítő adatai: Az integráció konfigurálásához a következő információkra van szüksége:
- mimecastEmail: Dedikált Mimecast-rendszergazdai felhasználó e-mail-címe
- mimecastPassword: A dedikált Mimecast rendszergazdai felhasználó jelszava
- mimecastAppId: A Mimecast-ben regisztrált Microsoft Sentinel-alkalmazás API-alkalmazásazonosítója
- mimecastAppKey: A Mimecast-ben regisztrált Microsoft Sentinel-alkalmazás API-alkalmazáskulcsa
- mimecastAccessKey: Hozzáférési kulcs a dedikált Mimecast rendszergazdai felhasználóhoz
- mimecastSecretKey: Titkos kulcs a dedikált Mimecast rendszergazdai felhasználóhoz
- mimecastBaseURL: Mimecast Regional API Base URL
A Mimecast alkalmazásazonosítója, az alkalmazáskulcs, valamint a dedikált Mimecast rendszergazdai felhasználó hozzáférési kulcsa és titkos kulcsai a Mimecast Rendszergazda istration konzolon keresztül érhetők el: Rendszergazda istration | Szolgáltatások | API- és platformintegrációk.
A Mimecast API Alap URL-címe az egyes régiókhoz itt található: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Erőforráscsoport: Létre kell hoznia egy erőforráscsoportot egy használni kívánt előfizetéssel.
- Functions-alkalmazás: Az összekötő használatához regisztrálnia kell egy Azure-alkalmazás
- Alkalmazásazonosító
- Bérlőazonosító
- Ügyfél-azonosító
- Titkos ügyfélkulcs
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik egy Mimecast API-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
Configuration:
1. LÉPÉS – A Mimecast API konfigurációs lépései
Lépjen az Azure Portalra ---> Alkalmazásregisztrációk ---> [your_app] ---> Tanúsítványok és titkos kódok ---> Új ügyféltitkot, és hozzon létre egy új titkos kulcsot (mentse az értéket biztonságos helyre, mert később nem fogja tudni megtekinteni)
2. LÉPÉS – A Mimecast API Csatlakozás or üzembe helyezése
FONTOS: A Mimecast API-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (amely a következőkből másolható), valamint a Mimecast API engedélyezési kulcsával vagy jogkivonatával, amely könnyen elérhető.
A Mimecast Audit & Authentication Data Csatlakozás or üzembe helyezése:
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.
Írja be a következő mezőket:
- appName: Egyedi sztring, amelyet az alkalmazás azonosítójaként használunk az Azure-platformon
- objectId: Az Azure Portal ---> Az Azure Active Directory ---> további információk ---> profil -----> objektumazonosítója
- app Elemzések Location(alapértelmezett): westeurope
- mimecastEmail: A dedikált felhasználó e-mail-címe ehhez az integraionhoz
- mimecastPassword: Jelszó dedikált felhasználóhoz
- mimecastAppId: A Mimecastben regisztrált Microsoft Sentinel alkalmazás alkalmazásazonosítója
- mimecastAppKey: Alkalmazáskulcs a Mimecastben regisztrált Microsoft Sentinel alkalmazásból
- mimecastAccessKey: Hozzáférési kulcs a dedikált Mimecast-felhasználóhoz
- mimecastSecretKey: Titkos kulcs dedikált Mimecast-felhasználóhoz
- mimecastBaseURL: Regional Mimecast API Base URL
- activeDirectoryAppId: Azure Portal ---> Alkalmazásregisztrációk ---> [your_app] ---> alkalmazásazonosítója
- activeDirectoryAppSecret: Azure Portal ---> Alkalmazásregisztrációk ---> [your_app] ---> Tanúsítványok és titkos kódok ---> [your_app_secret]
- workspaceId: Azure Portal ---> Log Analytics-munkaterületek ---> [Az Ön munkaterülete] ---> Ügynökök ---> munkaterület-azonosító (vagy a munkaterületazonosító felülről másolható)
- workspaceKey: Azure Portal ---> Log Analytics-munkaterületek ---> [Saját munkaterület] ---> Ügynökök ---> elsődleges kulcs (vagy másolhatja a workspaceKey-t fentről)
- Alkalmazás Elemzések WorkspaceResourceID: Azure Portal ---> Log Analytics-munkaterületek ---> [Saját munkaterület] ---> Tulajdonságok ---> erőforrás-azonosító
Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a
@Microsoft.KeyVault(SecretUri={Security Identifier})
sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .
Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.
Kattintson a Vásárlás gombra az üzembe helyezéshez.
Lépjen az Azure Portalra ---> Erőforráscsoportok ---> [your_resource_group] ---> [appName](típus: Tárfiók) ---> Storage Explorer ---> BLOBTÁROLÓK ---> Naplózási ellenőrzőpontok ---> Üres fájl feltöltése és létrehozása checkpoint.txt nevű számítógépen, majd válassza ki feltöltésre (ez úgy történik, hogy a SIEM-naplók date_range konzisztens állapotban legyenek tárolva)
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.