Partilhar via


Mimecast Intelligence for Microsoft - Conector Microsoft Sentinel (usando o Azure Functions) para Microsoft Sentinel

O conector de dados para o Mimecast Intelligence for Microsoft fornece inteligência de ameaças regionais selecionada a partir das tecnologias de inspeção de e-mail do Mimecast com painéis pré-criados para permitir que os analistas visualizem informações sobre ameaças baseadas em e-mail, ajudem na correlação de incidentes e reduzam os tempos de resposta da investigação.
Produtos e recursos Mimecast necessários:

  • Gateway de e-mail seguro Mimecast
  • Mimecast Inteligência de Ameaças

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Evento(ThreatIntelligenceIndicator)
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Mimecast

Exemplos de consulta

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o Mimecast Intelligence for Microsoft - Microsoft Sentinel (usando o Azure Functions), certifique-se de:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais da API Mimecast: Você precisa ter as seguintes informações para configurar a integração:
  • mimecastEmail: Endereço de e-mail de um usuário administrador dedicado do Mimecast
  • mimecastPassword: Senha para o usuário administrador Mimecast dedicado
  • mimecastAppId: ID do aplicativo API do aplicativo Mimecast Microsoft Sentinel registrado no Mimecast
  • mimecastAppKey: API Application Key do aplicativo Mimecast Microsoft Sentinel registrado no Mimecast
  • mimecastAccessKey: Chave de acesso para o usuário administrador Mimecast dedicado
  • mimecastSecretKey: Chave secreta para o usuário administrador Mimecast dedicado
  • mimecastBaseURL: URL base da API regional Mimecast

O ID do Aplicativo Mimecast, a Chave do Aplicativo, juntamente com a Chave de Acesso e as chaves secretas para o usuário administrador dedicado do Mimecast podem ser obtidos através do Console de Administração do Mimecast: Administração | Serviços | Integrações API e Plataforma.

A URL base da API Mimecast para cada região está documentada aqui: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupo de recursos: você precisa ter um grupo de recursos criado com uma assinatura que você vai usar.
  • Aplicativo Funções: você precisa ter um Aplicativo do Azure registrado para esse conector usar
  1. ID da Aplicação
  2. ID de Inquilino
  3. ID de Cliente
  4. Segredo do Cliente

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar a uma API Mimecast para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

Configuração:

PASSO 1 - Passos de configuração para a API Mimecast

Vá para o portal do Azure ---> Registros de aplicativos ---> [your_app] ---> Certificados & segredos ---> Novo segredo do cliente e crie um novo segredo (salve o Valor em algum lugar seguro imediatamente, porque você não poderá visualizá-lo mais tarde)

ETAPA 2 - Implantar o Mimecast API Connector

IMPORTANTE: Antes de implantar o conector da API do Mimecast, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados do seguinte), bem como a(s) chave(s) de autorização ou token da API do Mimecast, prontamente disponíveis.

Habilite o Mimecast Intelligence for Microsoft - Microsoft Sentinel Connector:

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira os seguintes campos:

  • appName: cadeia de caracteres exclusiva que será usada como id para o aplicativo na plataforma Azure
  • objectId: Portal do Azure ---> Azure Ative Directory ---> mais informações ---> Perfil -----> ID do Objeto
  • appInsightsLocation(padrão): westeurope
  • mimecastEmail: Endereço de e-mail do usuário dedicado para esta integração
  • mimecastPassword: Senha para usuário dedicado
  • mimecastAppId: ID do aplicativo Microsoft Sentinel registrado no Mimecast
  • mimecastAppKey: Chave de Aplicação da aplicação Microsoft Sentinel registada no Mimecast
  • mimecastAccessKey: Chave de acesso para o usuário Mimecast dedicado
  • mimecastSecretKey: Chave secreta para usuário Mimecast dedicado
  • mimecastBaseURL: URL base da API Mimecast regional
  • activeDirectoryAppId: Portal do Azure ---> Registos de aplicações ---> [your_app] ---> ID da Aplicação
  • activeDirectoryAppSecret: Portal do Azure ---> Registos de aplicações ---> [your_app] ---> Certificados & segredos ---> [your_app_secret]
  • workspaceId: Portal do Azure ---> Log Analytics Workspaces ---> [Seu espaço de trabalho] ---> Agentes ---> ID do espaço de trabalho (ou você pode copiar workspaceId de cima)
  • workspaceKey: Portal do Azure ---> Log Analytics Workspaces ---> [Seu espaço de trabalho] ---> Agents ---> Primary Key (ou você pode copiar workspaceKey de cima)
  • AppInsightsWorkspaceResourceID : Portal do Azure ---> Log Analytics Workspaces ---> [Seu espaço de trabalho] ---> Propriedades ---> ID do Recurso

Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.

  1. Marque a caixa de seleção Concordo com os termos e condições mencionados acima.

  2. Clique em Comprar para implantar.

  3. Vá para o portal do Azure ---> Grupos de recursos ---> [your_resource_group] ---> [appName](tipo: Conta de armazenamento) ---> Gerenciador de Armazenamento ---> CONTÊINERES DE BLOB ---> Pontos de verificação TIR ---> Carregue e crie um arquivo vazio em sua máquina chamado checkpoint.txt e selecione-o para upload (isso é feito para que date_range para logs TIR seja armazenado em estado consistente)

Configuração adicional:

Conecte-se a um conector de dados de plataformas de inteligência de ameaças. Siga as instruções na página do conector e clique no botão conectar.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.