Condividi tramite


Connettore Mimecast Secure Email Gateway (con Funzioni di Azure) per Microsoft Sentinel

Il connettore dati per Mimecast Secure Email Gateway consente di eseguire facilmente la raccolta di log dal gateway di posta elettronica sicuro per visualizzare informazioni dettagliate sulla posta elettronica e l'attività dell'utente all'interno di Microsoft Sentinel. Il connettore dati fornisce dashboard creati in modo preliminare per consentire agli analisti di visualizzare informazioni dettagliate sulle minacce basate sulla posta elettronica, facilitare la correlazione degli eventi imprevisti e ridurre i tempi di risposta alle indagini insieme alle funzionalità di avviso personalizzate. Prodotti e funzionalità Mimecast necessari:

  • Mimecast Secure Email Gateway
  • Mimecast Data Leak Prevention

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics MimecastSIEM_CL
MimecastDLP_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Mimecast

Esempi di query

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Mimecast Secure Email Gateway (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali dell'API Mimecast: per configurare l'integrazione è necessario disporre delle informazioni seguenti:
  • mimecastEmail: indirizzo di posta elettronica di un utente amministratore Mimecast dedicato
  • mimecastPassword: password per l'utente amministratore Mimecast dedicato
  • mimecastAppId: ID applicazione API dell'app Mimecast Microsoft Sentinel registrata con Mimecast
  • mimecastAppKey: chiave dell'applicazione API dell'app Mimecast Microsoft Sentinel registrata con Mimecast
  • mimecastAccessKey: chiave di accesso per l'utente amministratore Mimecast dedicato
  • mimecastSecretKey: chiave privata per l'utente amministratore Mimecast dedicato
  • mimecastBaseURL: URL di base dell'API regionale Mimecast

L'ID applicazione Mimecast, la chiave dell'applicazione, insieme alle chiavi di accesso e ai segreti per l'utente amministratore Mimecast dedicato, possono essere ottenuti tramite la console mimecast Amministrazione istration: Amministrazione istration | Servizi | Integrazioni di API e piattaforma.

L'URL di base dell'API Mimecast per ogni area è documentato qui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Gruppo di risorse: è necessario creare un gruppo di risorse con una sottoscrizione che si intende usare.
  • App per le funzioni: è necessario avere un app Azure registrato per questo connettore da usare
  1. ID applicazione
  2. ID tenant
  3. ID client
  4. Segreto client

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi a un'API Mimecast per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

Configuration (Configurazione):

PASSAGGIO 1 - Passaggi di configurazione per l'API Mimecast

Passare a portale di Azure --- Registrazioni app --->> [your_app] ---> Certificati e segreti ---> Nuovo segreto client e creare un nuovo segreto (salvare immediatamente il valore sicuro perché non sarà possibile visualizzarlo in anteprima in un secondo momento)

PASSAGGIO 2: Distribuire l'API Mimecast Connessione or

IMPORTANTE: prima di distribuire il connettore API Mimecast, disporre dell'ID dell'area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue), nonché delle chiavi di autorizzazione dell'API Mimecast o del token, immediatamente disponibili.

Distribuire mimecast Secure Email Gateway Data Connessione or:

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere i campi seguenti:

  • appName: stringa univoca che verrà usata come ID per l'app nella piattaforma Azure
  • objectId: portale di Azure ---> Azure Active Directory ---> altre informazioni ---> PROFILO -----> ID oggetto
  • appInsightsLocation(default): westeurope
  • mimecastEmail: indirizzo di posta elettronica dell'utente dedicato per questa integrazione
  • mimecastPassword: password per l'utente dedicato
  • mimecastAppId: ID applicazione dall'app Microsoft Sentinel registrata con Mimecast
  • mimecastAppKey: chiave dell'applicazione dall'app Microsoft Sentinel registrata con Mimecast
  • mimecastAccessKey: chiave di accesso per l'utente Mimecast dedicato
  • mimecastSecretKey: Chiave privata per un utente Mimecast dedicato
  • mimecastBaseURL: URL di base dell'API Mimecast a livello di area
  • activeDirectoryAppId: portale di Azure --- Registrazioni app --->> [your_app] ---> ID applicazione
  • activeDirectoryAppSecret: portale di Azure --- Registrazioni app --->> [your_app] ---> Certificati e segreti ---> [your_app_secret]
  • workspaceId: portale di Azure ---> aree di lavoro Log Analytics ---> [Area di lavoro] --- agenti --->> ID area di lavoro (oppure è possibile copiare workspaceId da sopra)
  • workspaceKey: portale di Azure ---> aree di lavoro Log Analytics ---> [Area di lavoro] agenti> --- ---> chiave primaria (oppure è possibile copiare workspaceKey da sopra)
  • AppInsightsWorkspaceResourceID: portale di Azure ---> aree di lavoro Log Analytics ---> [Area di lavoro] --- Proprietà --->> ID risorsa

Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.

  1. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza.

  2. Fare clic su Acquista per distribuire.

  3. Passare a gruppi di risorse portale di Azure --- ---> [your_resource_group] ---> [appName](tipo: account Archiviazione) ---> Archiviazione Explorer ---> contenitori BLOB --- checkpoint SIEM --->> caricamento> e creare un file vuoto nel computer denominato checkpoint.txt, dlp-checkpoint.txt e selezionarlo per il caricamento (questa operazione viene eseguita in modo che date_range per i log SIEM sia archiviato in uno stato coerente)

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.