Mimecast Intelligence para Microsoft - Conector Mimecast Intelligence para Microsoft Sentinel (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

O conector de dados do Mimecast Intelligence para Microsoft fornece inteligência contra ameaças regionalmente coletadas das tecnologias de inspeção de emails do Mimecast, com painéis pré-criados para permitir que os analistas exibam insights sobre ameaças baseadas em emails, auxiliem na correlação de incidentes e reduzam os tempos de resposta da investigação.
Produtos e recursos do Mimecast necessários:

  • Gateway de Email Seguro do Mimecast
  • Inteligência Contra Ameaças do Mimecast

Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Evento(ThreatIntelligenceIndicator)
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Mimecast

Exemplos de consulta

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Pré-requisitos

Para fazer a integração com o Mimecast Intelligence para Microsoft - Microsoft Sentinel (usando o Azure Functions), verifique se você tem:

  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Credenciais da API do Mimecast: Você precisa ter as seguintes informações para configurar a integração:
  • mimecastEmail: Endereço de email de um usuário administrador dedicado do Mimecast
  • mimecastPassword: Senha do usuário administrador dedicado do Mimecast
  • mimecastAppId: ID do Aplicativo da API do aplicativo Microsoft Sentinel do Mimecast registrado com o Mimecast
  • mimecastAppKey: Chave de aplicativo da API do Aplicativo Microsoft Sentinel do Mimecast registrado com o Mimecast
  • mimecastAccessKey: Chave de acesso para o usuário administrador dedicado do Mimecast
  • mimecastSecretKey: Chave Secreta para o usuário administrador dedicado do Mimecast
  • mimecastBaseURL: URL Base da API Regional do Mimecast

O ID do Aplicativo do Mimecast, a Chave do Aplicativo, junto com a Chave de Acesso e as Chaves Secretas para o usuário administrador dedicado do Mimecast podem ser obtidos através do Console de Administração do Mimecast: Administração | Serviços | API e Integrações de Plataforma.

A URL Base da API do Mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupo de recursos: É necessário ter um grupo de recursos criado com uma assinatura que você vai usar.
  • Aplicativo de funções: Você precisa ter um Aplicativo Azure AD registrado para que esse conector seja usado
  1. ID do Aplicativo
  2. ID do locatário
  3. Id do cliente
  4. Segredo do cliente

Instruções de instalação do fornecedor

Observação

Esse conector usa o Azure Functions para se conectar a uma API do Mimecast para efetuar pull do seus registros para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

Configuração:

ETAPA 1: Etapas de configuração da API do Mimecast

Acesse o Portal do Microsoft Azure ---> Registros de aplicativos ---> [your_app] ---> Certificados e segredos ---> Novo segredo do cliente e crie um novo segredo (salve o valor em algum lugar seguro imediatamente, pois você não poderá visualizá-lo mais tarde)

ETAPA 2: Implantar o Conector de API do Mimecast

IMPORTANTE: Antes de implantar o conector da API do Mimecast, tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (que podem ser copiados a partir dos seguintes), bem como a(s) chave(s) de autorização da API do Mimecast ou Token, prontamente disponíveis.

Habilite o Mimecast Intelligence para Microsoft - Conector do Microsoft Sentinel:

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.

  3. Insira os seguintes campos:

  • appName: Cadeia de caracteres exclusiva que será usada como ID para o aplicativo na plataforma do Azure
  • objectId: Portal do Microsoft Azure ---> Azure Active Directory ---> mais informações ---> Perfil -----> ID do Objeto
  • appInsightsLocation(default): westeurope
  • mimecastEmail: Endereço de email do usuário dedicado para essa integração
  • mimecastPassword: Senha do usuário dedicado
  • mimecastAppId: ID de Aplicativo do aplicativo Microsoft Sentinel registrado com o Mimecast
  • mimecastAppKey: Chave de Aplicativo do aplicativo Microsoft Sentinel registrado com o Mimecast
  • mimecastAccessKey: Chave de Acesso do usuário dedicado do Mimecast
  • mimecastSecretKey: Chave Secreta do usuário dedicado do Mimecast
  • mimecastBaseURL: URL Base Regional da API do Mimecast
  • activeDirectoryAppId: Portal do Microsoft Azure ---> Registros de aplicativos ---> [your_app] ---> ID do Aplicativo
  • activeDirectoryAppSecret: Portal do Microsoft Azure ---> Registros de aplicativos ---> [your_app] ---> Certificados e segredos ---> [your_app_secret]
  • workspaceId: Portal do Microsoft Azure ---> Workspaces do Log Analytics ---> [Seu espaço de trabalho] ---> Agentes ---> ID do Espaço de Trabalho (ou você pode copiar a workspaceId acima)
  • workspaceKey: Portal do Microsoft Azure ---> Workspaces do Log Analytics ---> [Seu espaço de trabalho] ---> Agentes ---> Chave Primária (ou você pode copiar a workspaceKey acima)
  • AppInsightsWorkspaceResourceID : Portal do Microsoft Azure ---> Workspaces do Log Analytics ---> [Seu espaço de trabalho] ---> Propriedades ---> ID do Recurso

Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault.

  1. Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.

  2. Clique em Comprar para implantar.

  3. Vá para Portal do Microsoft Azure ---> Grupos de recursos ---> [your_resource_group] ---> [appName](tipo: Conta de Armazenamento) ---> Gerenciador de Armazenamento ---> CONTÊINERES DE BLOBS ---> Pontos de Verificação TIR ---> Fazer upload e crie um arquivo vazio em seu computador chamado checkpoint.txt e selecione-o para upload (isso é feito para que o date_range para os logs do TIR seja armazenado em estado consistente)

Configuração adicional:

Conectar-se a um Conector de Dados de Plataformas de Inteligência contra Ameaças. Siga as instruções na página do conector e clique no botão Conectar.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.