Konektor Mimecast Targeted Threat Protection (menggunakan Azure Functions) untuk Microsoft Sentinel

  • Artikel

Konektor data untuk Mimecast Targeted Threat Protection memberi pelanggan visibilitas ke peristiwa keamanan yang terkait dengan teknologi inspeksi Perlindungan Ancaman Yang Ditargetkan dalam Microsoft Azure Sentinel. Konektor data menyediakan dasbor yang telah dibuat sebelumnya untuk memungkinkan analis melihat wawasan tentang ancaman berbasis email, membantu korelasi insiden dan mengurangi waktu respons investigasi yang digabungkan dengan kemampuan pemberitahuan kustom.
Produk Mimecast yang disertakan dalam konektor adalah:

  • Perlindungan URL
  • Perlindungan Peniruan
  • Pelindung Lampiran

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Tabel Log Analytics MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Mimecast

Kueri sampel

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan Mimecast Targeted Threat Protection (menggunakan Azure Functions) pastikan Anda memiliki:

  • Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
  • Kredensial/izin REST API: Anda harus memiliki informasi berikut untuk mengonfigurasi integrasi:
  • mimecastEmail: Alamat email pengguna admin Mimecast khusus
  • mimecastPassword: Kata sandi untuk pengguna admin Mimecast khusus
  • mimecastAppId: ID Aplikasi API dari aplikasi Mimecast Microsoft Sentinel yang terdaftar di Mimecast
  • mimecastAppKey: Kunci Aplikasi API dari aplikasi Mimecast Microsoft Sentinel yang terdaftar di Mimecast
  • mimecastAccessKey: Kunci Akses untuk pengguna admin Mimecast khusus
  • mimecastSecretKey: Kunci Rahasia untuk pengguna admin Mimecast khusus
  • mimecastBaseURL: URL Dasar API Regional Mimecast

Id Aplikasi Mimecast, Kunci Aplikasi, bersama dengan Kunci Akses dan Kunci Rahasia untuk pengguna admin Mimecast khusus dapat diperoleh melalui Mimecast Administration Console: Administrasi | Layanan | Integrasi API dan Platform.

URL Dasar API Mimecast untuk setiap wilayah didokumenkan di sini: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Instruksi penginstalan vendor

Grup sumber daya

Anda harus membuat grup sumber daya dengan langganan yang akan Anda gunakan.

Aplikasi Functions

Anda harus memiliki Aplikasi Azure yang terdaftar untuk digunakan konektor ini

  1. ID aplikasi
  2. Id Penyewa
  3. ID Klien
  4. Rahasia Klien

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke Mimecast API untuk menarik lognya ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

Konfigurasi:

LANGKAH 1 - Langkah-langkah konfigurasi untuk MIMECAST API

Buka portal Azure ---> Pendaftaran aplikasi ---> [your_app]> --- Sertifikat & rahasia ---> Rahasia klien baru dan buat rahasia baru (simpan Nilai di tempat yang aman segera karena Anda tidak akan dapat mempratinjaunya nanti)

LANGKAH 2 - Menyebarkan Koneksi or Mimecast API

PENTING: Sebelum menyebarkan konektor Mimecast API, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta kunci otorisasi Mimecast API atau Token, tersedia dengan mudah.

Sebarkan Koneksi or Data Perlindungan Ancaman Yang Ditargetkan Mimecast:

  1. Klik tombol Sebarkan ke Azure di bawah ini.

    Sebarkan ke Azure

  2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

  3. Masukkan bidang berikut:

  • appName: String unik yang akan digunakan sebagai id untuk aplikasi di platform Azure
  • objectId: portal Azure ---> Azure Active Directory ---> info selengkapnya ---> ID Objek ----- Profil ----->
  • appInsightsLocation(default): westeurope
  • mimecastEmail: Alamat email pengguna khusus untuk integrasi ini
  • mimecastPassword: Kata sandi untuk pengguna khusus
  • mimecastAppId: Id Aplikasi dari aplikasi Microsoft Azure Sentinel yang terdaftar di Mimecast
  • mimecastAppKey: Kunci Aplikasi dari aplikasi Microsoft Azure Sentinel yang terdaftar di Mimecast
  • mimecastAccessKey: Kunci Akses untuk pengguna Mimecast khusus
  • mimecastSecretKey: Kunci Rahasia untuk pengguna Mimecast khusus
  • mimecastBaseURL: URL Dasar API Mimecast Regional
  • activeDirectoryAppId: ID Aplikasi --- portal Azure ---> Pendaftaran aplikasi ---> [your_app]>
  • activeDirectoryAppSecret: portal Azure ---> Pendaftaran aplikasi ---> [your_app]> --- Sertifikat & rahasia ---> [your_app_secret]
  • workspaceId: portal Azure ---> Ruang Kerja Analitik Log ---> [Ruang kerja Anda] ---> AGEN ---> ID Ruang Kerja (atau Anda dapat menyalin workspaceId dari atas)
  • workspaceKey: portal Azure ---> Ruang Kerja Analitik Log ---> [Ruang kerja Anda] ---> Agen ---> Kunci Primer (atau Anda dapat menyalin workspaceKey dari atas)
  • AppInsightsWorkspaceResourceID : portal Azure ---> Ruang Kerja Analitik Log ---> [Ruang kerja Anda] ---> Properti ---> ID Sumber Daya

Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.

  1. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.

  2. Klik Beli untuk menyebarkan.

  3. Buka grup Sumber Daya portal Azure ---> ---> [your_resource_group] ---> [appName](jenis: Akun penyimpanan) ---> Storage Explorer ---> KONTAINER BLOB --- titik pemeriksaan TTP --->> Mengunggah dan membuat file kosong di komputer Anda bernama attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt dan pilih untuk diunggah (ini dilakukan sehingga date_range untuk log TTP disimpan dalam status konsisten)

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.