Udostępnij za pośrednictwem

Łącznik Mimecast Audit & Authentication (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych dla usługi Mimecast Audit & Authentication zapewnia klientom wgląd w zdarzenia zabezpieczeń związane ze zdarzeniami inspekcji i uwierzytelniania w usłudze Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie wglądu w aktywność użytkownika, pomoc w korelacji zdarzeń i skrócenie czasów odpowiedzi na badanie w połączeniu z niestandardowymi funkcjami alertów.
Produkty Mimecast zawarte w łączniku to: Inspekcja i uwierzytelnianie

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics MimecastAudit_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Mimecast

Przykłady zapytań

MimecastAudit_CL

MimecastAudit_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z usługą Mimecast Audit & Authentication (przy użyciu usługi Azure Functions), upewnij się, że:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: adres e-mail dedykowanego użytkownika administratora mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora mimecast
  • mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora mimecast
  • mimecastBaseURL: adres URL bazy interfejsu API regionalnego mimecast

Identyfikator aplikacji mimecast, klucz aplikacji wraz z kluczem dostępu i kluczem tajnym dla dedykowanego użytkownika administratora mimecast można uzyskać za pośrednictwem konsoli mimecast Administracja istration: Administracja istration | Usługi | Integracje interfejsów API i platform.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupa zasobów: musisz mieć grupę zasobów utworzoną przy użyciu subskrypcji, której zamierzasz użyć.
  • Aplikacja usługi Functions: aby używać tego łącznika, musisz zarejestrować aplikacja systemu Azure
  1. Identyfikator aplikacji
  2. Identyfikator dzierżawcy
  3. Identyfikator klienta
  4. Klucz tajny klienta

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Konfiguracja:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do witryny Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> Nowy wpis tajny klienta i utwórz nowy wpis tajny (zapisz wartość gdzieś bezpiecznie od razu, ponieważ nie będzie można wyświetlić podglądu później)

KROK 2. Wdrażanie Połączenie or interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także klucze autoryzacji interfejsu API mimecast lub token, łatwo dostępne.

Wdróż Połączenie or danych inspekcji i uwierzytelniania mimecast:

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure Active Directory ---> więcej informacji ---> profil -----> identyfikator obiektu
  • app Szczegółowe informacje Location(ustawienie domyślne): westeurope
  • mimecastEmail: adres e-mail dedykowanego użytkownika dla tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL podstawowy interfejsu API mimecast
  • activeDirectoryAppId: identyfikator aplikacji --- witryny Azure Portal Rejestracje aplikacji --->> [your_app] --->
  • activeDirectoryAppSecret: witryna Azure Portal --- Rejestracje aplikacji --->> [your_app] ---> Certyfikaty i wpisy tajne ---> [your_app_secret]
  • workspaceId: identyfikator obszaru roboczego usługi Log Analytics ---> witryny Azure Portal ---> [Obszar roboczy] ---> Agenci ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z powyższego)
  • workspaceKey: witryna Azure Portal ---> obszarów roboczych usługi Log Analytics ---> [Obszar roboczy] ---> Agenci ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • App Szczegółowe informacje WorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics --- [Obszar roboczy] --->> właściwości ---> identyfikator zasobu

Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.

  1. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do witryny Azure Portal ---> grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> kontenerów obiektów blob ---> inspekcji punktów kontrolnych ---> przekazywanie i tworzenie pustego pliku na maszynie o nazwie checkpoint.txt i wybranie go do przekazania (odbywa się to tak, aby date_range dla dzienników SIEM jest przechowywany w spójnym stanie)

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.