Share via

Microsoft Sentinel 用 Mimecast Audit & Authentication (Azure Functions を使用) コネクタ

  • [アーティクル]

Mimecast Audit & Authentication のデータ コネクタは、Microsoft Sentinel 内の監査と認証のイベントに関連するセキュリティ イベントの可視性をお客様に提供します。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してユーザー アクティビティに関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。
このコネクタに含まれている Mimecast 製品は Audit & Authentication です

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル MimecastAudit_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Mimecast

クエリのサンプル

MimecastAudit_CL

MimecastAudit_CL

| sort by TimeGenerated desc

前提条件

Mimecast Audit & Authentication と (Azure Functions を使用して) 統合するには、次のものがあることを確認してください。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • Mimecast API 資格情報: 統合を構成するには、次の情報が必要になります。
  • mimecastEmail: 専用 Mimecast 管理者ユーザーのメール アドレス
  • mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
  • mimecastAppId: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション ID
  • mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
  • mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
  • mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
  • mimecastBaseURL: Mimecast リージョン API ベース URL

Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast 管理コンソールの [管理 | サービス | API とプラットフォームの統合] から取得できます。

各リージョンの Mimecast API ベース URL については、こちらのドキュメントを参照してください: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • リソース グループ: 使用するサブスクリプションでリソース グループが作成されている必要があります。
  • Functions アプリ: このコネクタで以下を使用するには、Azure アプリが登録されている必要があります
  1. アプリケーション ID
  2. テナント ID
  3. クライアント ID
  4. Client Secret

ベンダーのインストール手順

Note

このコネクタは Azure Functions を使用して Mimecast API に接続し、そのログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

環境設定:

手順 1 - Mimecast API の構成手順

Azure portal ---> アプリの登録 ---> [your_app] ---> 証明書とシークレット ---> 新しいクライアント シークレットに移動して、新しいシークレットを作成します (値は後でプレビューできないため、すぐに安全な場所に保存してください)

手順 2 - Mimecast API コネクタをデプロイする

重要: Mimecast API コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Mimecast API の認可キーまたはトークンをすぐに使用できるようにしておいてください。

Mimecast Audit & Authentication データ コネクタをデプロイします。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. 以下のフィールドに値を入力します:

  • appName: Azure プラットフォームのアプリの ID として使用される一意の文字列
  • objectId: Azure portal ---> Azure Active Directory ---> 詳細情報 ---> プロファイル -----> オブジェクト ID
  • appInsightsLocation (既定値): westeurope
  • mimecastEmail: この統合用の専用ユーザーのメール アドレス
  • mimecastPassword: 専用ユーザーのパスワード
  • mimecastAppId: Mimecast に登録された Microsoft Sentinel アプリのアプリケーション ID
  • mimecastAppKey: Mimecast に登録された Microsoft Sentinel アプリのアプリケーション キー
  • mimecastAccessKey: 専用 Mimecast ユーザーのアクセス キー
  • mimecastSecretKey: 専用 Mimecast ユーザーの秘密鍵
  • mimecastBaseURL: リージョン Mimecast API ベース URL
  • activeDirectoryAppId: Azure portal ---> アプリの登録 ---> [your_app] ---> アプリケーション ID
  • activeDirectoryAppSecret: Azure portal ---> アプリの登録 ---> [your_app] ---> 証明書とシークレット ---> [your_app_secret]
  • workspaceId: Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> エージェント ---> ワークスペース ID (または上記の workspaceId をコピーできます)
  • workspaceKey: Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> エージェント ---> 主キー (または上記の workspaceKey をコピーできます)
  • AppInsightsWorkspaceResourceID : Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> プロパティ ---> リソース ID

注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。

  1. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  2. [購入] をクリックしてデプロイします。

  3. Azure portal ---> リソース グループ ---> [your_resource_group] ---> [appName](種類: ストレージ アカウント) ---> Storage Explorer ---> BLOB コンテナー ---> 監査チェックポイント ---> アップロードに移動して、checkpoint.txt という名前の空のファイルをマシン上に作成し、アップロード用に選択します (これを行うのは、SIEM ログの date_range が一貫した状態で保存されるようにするためです)

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。