Megosztás a következőn keresztül:


Mimecast Targeted Threat Protection (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

A Mimecast Targeted Threat Protection adatösszekötője biztosítja az ügyfelek számára a Microsoft Sentinel célzott fenyegetésvédelmi ellenőrzési technológiáival kapcsolatos biztonsági események láthatóságát. Az adatösszekötő előre létrehozott irányítópultokat biztosít, amelyekkel az elemzők betekintést nyerhetnek az e-mail alapú fenyegetésekbe, segítséget nyújtanak az incidensek korrelációjában, és csökkenthetik a vizsgálati válaszidőket az egyéni riasztási képességekkel együtt.
Az összekötőben található Mimecast-termékek a következők:

  • URL-védelem
  • Megszemélyesítés védelme
  • Mellékletvédelem

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Mimecast

Példák lekérdezésekre

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Előfeltételek

Ha integrálható a Mimecast Targeted Threat Protection szolgáltatással (az Azure Functions használatával), győződjön meg arról, hogy a következőkkel rendelkezik:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • REST API hitelesítő adatai/engedélyei: Az integráció konfigurálásához a következő információkra van szüksége:
  • mimecastEmail: Dedikált Mimecast-rendszergazdai felhasználó e-mail-címe
  • mimecastPassword: A dedikált Mimecast rendszergazdai felhasználó jelszava
  • mimecastAppId: A Mimecast-ben regisztrált Microsoft Sentinel-alkalmazás API-alkalmazásazonosítója
  • mimecastAppKey: A Mimecast-ben regisztrált Microsoft Sentinel-alkalmazás API-alkalmazáskulcsa
  • mimecastAccessKey: Hozzáférési kulcs a dedikált Mimecast rendszergazdai felhasználóhoz
  • mimecastSecretKey: Titkos kulcs a dedikált Mimecast rendszergazdai felhasználóhoz
  • mimecastBaseURL: Mimecast Regional API Base URL

A Mimecast alkalmazásazonosítója, az alkalmazáskulcs, valamint a dedikált Mimecast rendszergazdai felhasználó hozzáférési kulcsa és titkos kulcsai a Mimecast Rendszergazda istration konzolon keresztül érhetők el: Rendszergazda istration | Szolgáltatások | API- és platformintegrációk.

A Mimecast API Alap URL-címe az egyes régiókhoz itt található: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Szállító telepítési útmutatója

Erőforráscsoport

Létre kell hoznia egy erőforráscsoportot egy használni kívánt előfizetéssel.

Functions-alkalmazás

Ehhez az összekötőhöz regisztrálnia kell egy Azure-alkalmazás

  1. Alkalmazásazonosító
  2. Bérlőazonosító
  3. Ügyfél-azonosító
  4. Titkos ügyfélkulcs

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik egy Mimecast API-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

Configuration:

1. LÉPÉS – A Mimecast API konfigurációs lépései

Lépjen az Azure Portalra ---> Alkalmazásregisztrációk ---> [your_app] ---> Tanúsítványok és titkos kódok ---> Új ügyféltitkot, és hozzon létre egy új titkos kulcsot (mentse az értéket biztonságos helyre, mert később nem fogja tudni megtekinteni)

2. LÉPÉS – A Mimecast API Csatlakozás or üzembe helyezése

FONTOS: A Mimecast API-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (amely a következőkből másolható), valamint a Mimecast API engedélyezési kulcsával vagy jogkivonatával, amely könnyen elérhető.

A Mimecast targeted Threat Protection data Csatlakozás or üzembe helyezése:

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Írja be a következő mezőket:

  • appName: Egyedi sztring, amelyet az alkalmazás azonosítójaként használunk az Azure-platformon
  • objectId: Az Azure Portal ---> Az Azure Active Directory ---> további információk ---> profil -----> objektumazonosítója
  • app Elemzések Location(alapértelmezett): westeurope
  • mimecastEmail: A dedikált felhasználó e-mail-címe ehhez az integraionhoz
  • mimecastPassword: Jelszó dedikált felhasználóhoz
  • mimecastAppId: A Mimecastben regisztrált Microsoft Sentinel alkalmazás alkalmazásazonosítója
  • mimecastAppKey: Alkalmazáskulcs a Mimecastben regisztrált Microsoft Sentinel alkalmazásból
  • mimecastAccessKey: Hozzáférési kulcs a dedikált Mimecast-felhasználóhoz
  • mimecastSecretKey: Titkos kulcs dedikált Mimecast-felhasználóhoz
  • mimecastBaseURL: Regional Mimecast API Base URL
  • activeDirectoryAppId: Azure Portal ---> Alkalmazásregisztrációk ---> [your_app] ---> alkalmazásazonosítója
  • activeDirectoryAppSecret: Azure Portal ---> Alkalmazásregisztrációk ---> [your_app] ---> Tanúsítványok és titkos kódok ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics-munkaterületek ---> [Az Ön munkaterülete] ---> Ügynökök ---> munkaterület-azonosító (vagy a munkaterületazonosító felülről másolható)
  • workspaceKey: Azure Portal ---> Log Analytics-munkaterületek ---> [Saját munkaterület] ---> Ügynökök ---> elsődleges kulcs (vagy másolhatja a workspaceKey-t fentről)
  • Alkalmazás Elemzések WorkspaceResourceID: Azure Portal ---> Log Analytics-munkaterületek ---> [Saját munkaterület] ---> Tulajdonságok ---> erőforrás-azonosító

Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .

  1. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  2. Kattintson a Vásárlás gombra az üzembe helyezéshez.

  3. Lépjen az Azure Portalra ---> Erőforráscsoportok ---> [your_resource_group] ---> [appName](típus: Tárfiók) ---> Storage Explorer --- BLOBTÁROLÓK --->> TTP-ellenőrzőpontok ---> Üres fájlok feltöltése és létrehozása attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt nevű gépen, és jelölje ki őket feltöltésre (ez úgy történik, hogy a TTP-naplók date_range konzisztens állapotban legyenek tárolva)

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.