Share via

Microsoft Sentinel 用 Mimecast Targeted Threat Protection (Azure Functions を使用) コネクタ

  • [アーティクル]

Mimecast Targeted Threat Protection のデータ コネクタは、Microsoft Sentinel 内の Targeted Threat Protection 検査テクノロジに関連するセキュリティ イベントの可視性をお客様に提供します。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用して電子メール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。
このコネクタに含まれている Mimecast 製品は次のとおりです。

  • URL Protect
  • Impersonation Protect
  • Attachment Protect

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Mimecast

クエリのサンプル

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

前提条件

Mimecast Targeted Threat Protection と (Azure Functions を使用して) 統合するには、次のものがあることを確認してください。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • REST API 資格情報/アクセス許可: 統合を構成するには、次の情報が必要になります。
  • mimecastEmail: 専用 Mimecast 管理者ユーザーのメール アドレス
  • mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
  • mimecastAppId: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション ID
  • mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
  • mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
  • mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
  • mimecastBaseURL: Mimecast リージョン API ベース URL

Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast 管理コンソールの [Administration | Services | API and Platform Integrations]: (管理 | サービス | API とプラットフォームの統合) から取得できます。

各リージョンの Mimecast API ベース URL については、こちらのドキュメントを参照してください: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

ベンダーのインストール手順

リソース グループ

使用するサブスクリプションでリソース グループを作成する必要があります。

Functions アプリ

このコネクタで以下を使用するには、Azure アプリが登録されている必要があります

  1. アプリケーション ID
  2. テナント ID
  3. クライアント ID
  4. Client Secret

Note

このコネクタは Azure Functions を使用して Mimecast API に接続し、そのログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

環境設定:

手順 1 - Mimecast API の構成手順

Azure portal ---> アプリの登録 ---> [your_app] ---> 証明書とシークレット ---> 新しいクライアント シークレット に移動して、新しいシークレットを作成します (値は後でプレビューできないため、すぐに安全な場所に保存してください)

手順 2 - Mimecast API コネクタをデプロイする

重要: Mimecast API コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Mimecast API の認可キーまたはトークンをすぐに使用できるようにしておいてください。

Mimecast Targeted Threat Protection データ コネクタをデプロイします。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. 以下のフィールドに値を入力します:

  • appName: Azure プラットフォームのアプリの ID として使用される一意の文字列
  • objectId: Azure portal ---> Azure Active Directory ---> 詳細情報 ---> プロファイル -----> オブジェクト ID
  • appInsightsLocation (既定値): westeurope
  • mimecastEmail: この統合用の専用ユーザーのメール アドレス
  • mimecastPassword: 専用ユーザーのパスワード
  • mimecastAppId: Mimecast に登録された Microsoft Sentinel アプリのアプリケーション ID
  • mimecastAppKey: Mimecast に登録された Microsoft Sentinel アプリのアプリケーション キー
  • mimecastAccessKey: 専用 Mimecast ユーザーのアクセス キー
  • mimecastSecretKey: 専用 Mimecast ユーザーの秘密鍵
  • mimecastBaseURL: リージョン Mimecast API ベース URL
  • activeDirectoryAppId: Azure portal ---> アプリの登録 ---> [your_app] ---> アプリケーション ID
  • activeDirectoryAppSecret: Azure portal ---> アプリの登録 ---> [your_app] ---> 証明書とシークレット ---> [your_app_secret]
  • workspaceId: Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> エージェント ---> ワークスペース ID (または上記の workspaceId をコピーできます)
  • workspaceKey: Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> エージェント ---> 主キー (または上記の workspaceKey をコピーできます)
  • AppInsightsWorkspaceResourceID : Azure portal ---> Log Analytics ワークスペース ---> [自分のワークスペース] ---> プロパティ ---> リソース ID

注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。

  1. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  2. [購入] をクリックしてデプロイします。

  3. Azure portal ---> リソース グループ ---> [your_resource_group] ---> [appName] (種類: ストレージ アカウント) ---> Storage Explorer ---> BLOB コンテナー ---> [TTP checkpoints] (TTP チェックポイント) ---> アップロード に移動して、attachment-checkpoint.txt、impersonation-checkpoint.txt、url-checkpoint.txt という名前の空のファイルをマシン上に作成し、アップロード用に選択します (これは、TTP ログの date_range (日付範囲) が一貫した状態で保存されるようにするために行われます)

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。