Konektor Mimecast Intelligence for Microsoft - Microsoft Sentinel (menggunakan Azure Functions) untuk Microsoft Azure Sentinel

  • Artikel

Konektor data untuk Mimecast Intelligence for Microsoft menyediakan inteligensi ancaman regional yang dikumpulkan dari teknologi inspeksi email Mimecast dengan dasbor yang telah dibuat sebelumnya untuk memungkinkan analis melihat wawasan tentang ancaman berbasis email, membantu korelasi insiden dan mengurangi waktu respons investigasi.
Produk dan fitur Mimecast diperlukan:

  • Gateway Email Aman Mimecast
  • Inteligensi Ancaman Mimecast

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Tabel Log Analytics Event(ThreatIntelligenceIndicator)
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Mimecast

Kueri sampel

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan Mimecast Intelligence for Microsoft - Microsoft Sentinel (menggunakan Azure Functions) pastikan Anda memiliki:

  • Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
  • Kredensial MIMECAST API: Anda harus memiliki informasi berikut untuk mengonfigurasi integrasi:
  • mimecastEmail: Alamat email pengguna admin Mimecast khusus
  • mimecastPassword: Kata sandi untuk pengguna admin Mimecast khusus
  • mimecastAppId: ID Aplikasi API dari aplikasi Mimecast Microsoft Sentinel yang terdaftar di Mimecast
  • mimecastAppKey: Kunci Aplikasi API dari aplikasi Mimecast Microsoft Sentinel yang terdaftar di Mimecast
  • mimecastAccessKey: Kunci Akses untuk pengguna admin Mimecast khusus
  • mimecastSecretKey: Kunci Rahasia untuk pengguna admin Mimecast khusus
  • mimecastBaseURL: URL Dasar API Regional Mimecast

Id Aplikasi Mimecast, Kunci Aplikasi, bersama dengan Kunci Akses dan Kunci Rahasia untuk pengguna admin Mimecast khusus dapat diperoleh melalui Mimecast Administration Console: Administrasi | Layanan | Integrasi API dan Platform.

URL Dasar API Mimecast untuk setiap wilayah didokumenkan di sini: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grup sumber daya: Anda harus membuat grup sumber daya dengan langganan yang akan Anda gunakan.
  • Aplikasi Functions: Anda harus memiliki Aplikasi Azure yang terdaftar untuk digunakan konektor ini
  1. ID aplikasi
  2. Id Penyewa
  3. ID Klien
  4. Rahasia Klien

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke Mimecast API untuk menarik lognya ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

Konfigurasi:

LANGKAH 1 - Langkah-langkah konfigurasi untuk MIMECAST API

Buka portal Azure ---> Pendaftaran aplikasi ---> [your_app]> --- Sertifikat & rahasia ---> Rahasia klien baru dan buat rahasia baru (simpan Nilai di tempat yang aman segera karena Anda tidak akan dapat mempratinjaunya nanti)

LANGKAH 2 - Menyebarkan Koneksi or Mimecast API

PENTING: Sebelum menyebarkan konektor Mimecast API, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta kunci otorisasi Mimecast API atau Token, tersedia dengan mudah.

Aktifkan Mimecast Intelligence untuk Microsoft - Microsoft Azure Sentinel Koneksi or:

  1. Klik tombol Sebarkan ke Azure di bawah ini.

    Sebarkan ke Azure

  2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

  3. Masukkan bidang berikut:

  • appName: String unik yang akan digunakan sebagai id untuk aplikasi di platform Azure
  • objectId: portal Azure ---> Azure Active Directory ---> info selengkapnya ---> ID Objek ----- Profil ----->
  • appInsightsLocation(default): westeurope
  • mimecastEmail: Alamat email pengguna khusus untuk integrasi ini
  • mimecastPassword: Kata sandi untuk pengguna khusus
  • mimecastAppId: Id Aplikasi dari aplikasi Microsoft Azure Sentinel yang terdaftar di Mimecast
  • mimecastAppKey: Kunci Aplikasi dari aplikasi Microsoft Azure Sentinel yang terdaftar di Mimecast
  • mimecastAccessKey: Kunci Akses untuk pengguna Mimecast khusus
  • mimecastSecretKey: Kunci Rahasia untuk pengguna Mimecast khusus
  • mimecastBaseURL: URL Dasar API Mimecast Regional
  • activeDirectoryAppId: ID Aplikasi --- portal Azure ---> Pendaftaran aplikasi ---> [your_app]>
  • activeDirectoryAppSecret: portal Azure ---> Pendaftaran aplikasi ---> [your_app]> --- Sertifikat & rahasia ---> [your_app_secret]
  • workspaceId: portal Azure ---> Ruang Kerja Analitik Log ---> [Ruang kerja Anda] ---> AGEN ---> ID Ruang Kerja (atau Anda dapat menyalin workspaceId dari atas)
  • workspaceKey: portal Azure ---> Ruang Kerja Analitik Log ---> [Ruang kerja Anda] ---> Agen ---> Kunci Primer (atau Anda dapat menyalin workspaceKey dari atas)
  • AppInsightsWorkspaceResourceID : portal Azure ---> Ruang Kerja Analitik Log ---> [Ruang kerja Anda] ---> Properti ---> ID Sumber Daya

Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.

  1. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.

  2. Klik Beli untuk menyebarkan.

  3. Buka portal Azure --- Grup sumber daya ---> [your_resource_group] ---> [appName](jenis: Akun penyimpanan) ---> Storage Explorer ---> KONTAINER BLOB ---> titik pemeriksaan TIR ---> Unggah dan buat file kosong di komputer Anda bernama checkpoint.txt dan pilih untuk diunggah (ini dilakukan agar date_range untuk log TIR disimpan dalam keadaan konsisten)>

Konfigurasi tambahan:

Koneksi ke Koneksi or Data Platform Inteligensi Ancaman. Ikuti instruksi di halaman konektor lalu klik tombol sambungkan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.