Microsoft Sentinel용 Mimecast Targeted Threat Protection(Azure Functions 사용) 커넥터

  • 아티클

Mimecast Targeted Threat Protection용 데이터 커넥터는 Microsoft Sentinel 내의 Targeted Threat Protection 검사 기술과 관련된 보안 이벤트에 대한 가시성을 고객에게 제공합니다. 데이터 커넥터는 분석가가 메일 기반 위협에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만든 대시보드를 제공합니다.
커넥터에 포함된 Mimecast 제품은 다음과 같습니다.

  • URL Protect
  • Impersonation Protect
  • Attachment Protect

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
데이터 수집 규칙 지원 현재 지원되지 않음
지원 공급자 Mimecast

쿼리 샘플

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

필수 조건

Mimecast Targeted Threat Protection(Azure Functions 사용)과 통합하려면 다음이 있는지 확인합니다.

  • Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
  • REST API 자격 증명/사용 권한: 통합을 구성하려면 다음 정보가 있어야 합니다.
  • mimecastEmail: 전용 Mimecast 관리 사용자의 메일 주소
  • mimecastPassword: 전용 Mimecast 관리 사용자의 암호
  • mimecastAppId: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 관리 사용자의 액세스 키
  • mimecastSecretKey: 전용 Mimecast 관리 사용자의 비밀 키
  • mimecastBaseURL: Mimecast 지역 API 기본 URL

전용 Mimecast 관리 사용자의 액세스 키 및 비밀 키와 함께 Mimecast 애플리케이션 ID, 애플리케이션 키는 Mimecast 관리 콘솔을 통해 얻을 수 있습니다. 관리 | 서비스 | API 및 플랫폼 통합.

각 지역에 대한 Mimecast API 기본 URL은 다음과 같습니다. https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

공급업체 설치 지침

Resource group

사용하려는 구독으로 만든 리소스 그룹이 있어야 합니다.

Functions 앱

이 커넥터를 사용하려면 Azure 앱을 등록해야 합니다.

  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호

참고 항목

이 커넥터는 Azure Functions를 사용하여 Mimecast API에 연결하여 Microsoft Sentinel로 해당 로그를 풀합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 및 비밀 ---> 새 클라이언트 암호로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론, Mimecast API 권한 부여 키 또는 토큰도 즉시 사용할 수 있도록 합니다.

Mimecast Targeted Threat Protection 데이터 커넥터를 배포합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 선호하는 구독, 리소스 그룹위치를 선택합니다.

  3. 다음 필드를 입력합니다.

  • appName: Azure 플랫폼에서 앱의 ID로 사용할 고유 문자열
  • objectId: Azure Portal ---> Azure Active Directory ---> 자세한 정보 ---> 프로필 -----> 개체 ID
  • appInsightsLocation(기본값): westeurope
  • mimecastEmail: 이 통합에 대한 전용 사용자의 메일 주소
  • mimecastPassword: 전용 사용자에 대한 암호
  • mimecastAppId: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 사용자의 액세스 키
  • mimecastSecretKey: 전용 Mimecast 사용자의 비밀 키
  • mimecastBaseURL: 지역 Mimecast API 기본 URL
  • activeDirectoryAppId: Azure Portal ---> 앱 등록 ---> [your_app] ---> 애플리케이션 ID
  • activeDirectoryAppSecret: Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 및 비밀 ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 작업 영역 ID(또는 위에서 workspaceId를 복사할 수 있음)
  • workspaceKey: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 기본 키(또는 위에서 workspaceKey를 복사할 수 있음)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 속성 ---> 리소스 ID

참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier})스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요.

  1. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.

  2. 구매를 클릭하여 배포합니다.

  3. Go to Azure Portal ---> 리소스 그룹 ---> [your_resource_group] ---> [appName](유형: 스토리지 계정) ---> Storage Explorer ---> BLOB 컨테이너 ---> TTP 검사점 ---> 업로드로 이동하고 머신에 attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt라는 빈 파일을 만들고 업로드를 위해 선택합니다(이렇게 하면 TTP 로그에 대한 date_range가 일관된 상태로 저장됨)

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.