다음을 통해 공유

Microsoft Sentinel용 Mimecast 감사 및 인증(Azure Functions 사용) 커넥터

  • 아티클

Mimecast 감사 및 인증용 데이터 커넥터는 Microsoft Sentinel 내의 감사 및 인증 이벤트와 관련된 보안 이벤트에 대한 가시성을 고객에게 제공합니다. 데이터 커넥터는 분석가가 사용자 활동에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다.
커넥터에 포함된 Mimecast 제품은 다음과 같습니다. 감사 및 인증

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 MimecastAudit_CL
데이터 수집 규칙 지원 현재 지원되지 않음
지원 공급자 Mimecast

쿼리 샘플

MimecastAudit_CL

MimecastAudit_CL

| sort by TimeGenerated desc

필수 조건

Mimecast 감사 및 인증(Azure Functions 사용)과 통합하려면 다음이 있는지 확인합니다.

  • Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
  • Mimecast API 자격 증명: 통합을 구성하려면 다음 정보가 필요합니다.
  • mimecastEmail: 전용 Mimecast 관리 사용자의 메일 주소
  • mimecastPassword: 전용 Mimecast 관리 사용자의 암호
  • mimecastAppId: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 관리 사용자의 액세스 키
  • mimecastSecretKey: 전용 Mimecast 관리 사용자의 비밀 키
  • mimecastBaseURL: Mimecast 지역 API 기본 URL

전용 Mimecast 관리 사용자의 액세스 키 및 비밀 키와 함께 Mimecast 애플리케이션 ID, 애플리케이션 키는 Mimecast 관리 콘솔을 통해 얻을 수 있습니다. 관리 | 서비스 | API 및 플랫폼 통합.

각 지역에 대한 Mimecast API 기본 URL은 다음과 같습니다. https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • 리소스 그룹: 사용하려는 구독으로 만든 리소스 그룹이 있어야 합니다.
  • Functions 앱: 이 커넥터를 사용하려면 Azure 앱을 등록해야 합니다.
  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 Mimecast API에 연결하여 Microsoft Sentinel로 해당 로그를 풀합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 및 비밀 ---> 새 클라이언트 암호로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론, Mimecast API 권한 부여 키도 즉시 사용할 수 있도록 합니다.

Mimecast 감사 및 인증 데이터 커넥터를 배포합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 선호하는 구독, 리소스 그룹위치를 선택합니다.

  3. 다음 필드를 입력합니다.

  • appName: Azure 플랫폼에서 앱의 ID로 사용할 고유 문자열
  • objectId: Azure Portal ---> Azure Active Directory ---> 자세한 정보 ---> 프로필 -----> 개체 ID
  • appInsightsLocation(기본값): westeurope
  • mimecastEmail: 이 통합에 대한 전용 사용자의 메일 주소
  • mimecastPassword: 전용 사용자에 대한 암호
  • mimecastAppId: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 사용자의 액세스 키
  • mimecastSecretKey: 전용 Mimecast 사용자의 비밀 키
  • mimecastBaseURL: 지역 Mimecast API 기본 URL
  • activeDirectoryAppId: Azure Portal ---> 앱 등록 ---> [your_app] ---> 애플리케이션 ID
  • activeDirectoryAppSecret: Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 및 비밀 ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 작업 영역 ID(또는 위에서 workspaceId를 복사할 수 있음)
  • workspaceKey: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 기본 키(또는 위에서 workspaceKey를 복사할 수 있음)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 속성 ---> 리소스 ID

참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier})스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요.

  1. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.

  2. 구매를 클릭하여 배포합니다.

  3. Azure Portal ---> 리소스 그룹 ---> [your_resource_group] ---> [appName](유형: 스토리지 계정) ---> Storage Explorer ---> BLOB CONTAINERS ---> Audit 검사점 ---> 업로드로 이동하여 checkpoint.txt라는 빈 파일을 머신에 만들고 이를 업로드하도록 선택합니다(SIEM 로그의 date_range를 일관된 상태로 저장되도록 수행).

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.