Соединитель аудита Mimecast и проверки подлинности (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных для аудита Mimecast и проверки подлинности предоставляет клиентам видимость событий безопасности, связанных с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель: аудит и проверка подлинности

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics MimecastAudit_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Mimecast

Примеры запросов

MimecastAudit_CL

MimecastAudit_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Mimecast Audit и Authentication (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли mimecast Администратор istration: Администратор istration | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
  • Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure
  1. ИД приложения
  2. Идентификатор клиента
  3. ИД клиента
  4. Секрет клиента

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

виртуальной сети:

ШАГ 1. Действия по настройке API Mimecast

Перейдите к портал Azure --- Регистрация приложений ---> [your_app]> ---> сертификаты и секреты ---> новый секрет клиента и создайте новый секрет (сохраните значение где-то безопасно сразу, так как вы не сможете просмотреть его позже)

ШАГ 2. Развертывание API Mimecast Подключение or

ВАЖНО. Прежде чем развертывать соединитель API Mimecast, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Mimecast или token, легко доступные.

Разверните средство аудита Mimecast и Подключение or проверки подлинности:

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Заполните следующие поля:

  • appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения на платформе Azure
  • objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения --- идентификатор объекта ----->> профиля
  • app Аналитика Location(default): westeurope
  • mimecastEmail: адрес электронной почты выделенного пользователя для этого integraion
  • mimecastPassword: пароль для выделенного пользователя
  • mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
  • mimecastBaseURL: базовый URL-адрес API mimecast для региональных mimecast
  • activeDirectoryAppId: портал Azure ---> Регистрация приложений --- [your_app]> ---> идентификатор приложения
  • activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты и секреты ---> [your_app_secret]
  • workspaceId: портал Azure ---> Рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> идентификатор рабочей области (или можно скопировать идентификатор рабочей области из выше)
  • workspaceKey: портал Azure ---> рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> первичный ключ (или скопировать workspaceKey из выше)
  • App Аналитика WorkspaceResourceID: портал Azure --- Рабочие области Log Analytics ---> [Ваша рабочая область] --->> Свойства ---> идентификатор ресурса

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.

  1. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  2. Нажмите кнопку " Купить" , чтобы развернуть.

  3. Перейдите к > группам ресурсов портал Azure --- ---> [your_resource_group]> --- [appName](тип: учетная запись служба хранилища)> ---> Обозреватель службы хранилища --- КОНТЕЙНЕРОВ BLOB-объектов ---> аудит проверка точек ---> отправить и создать пустой файл на компьютере с именем проверка point.txt и выберите его для отправки (это делается так, чтобы date_range для журналов SIEM хранится в согласованном состоянии)

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.