Mimecast Intelligence для Майкрософт — соединитель Microsoft Sentinel (с помощью Функции Azure) для Microsoft Sentinel

Соединитель данных для Mimecast Intelligence для Майкрософт предоставляет региональную аналитику угроз, курированную с помощью технологий проверки электронной почты Mimecast с предварительно созданными панелями мониторинга, чтобы аналитики могли просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на расследование.
Необходимые продукты и функции Mimecast:

  • Безопасный шлюз электронной почты Mimecast
  • Аналитика угроз Mimecast

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Event(ThreatIntelligenceIndicator)
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Mimecast

Примеры запросов

ThreatIntelligenceIndicator

ThreatIntelligenceIndicator

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Mimecast Intelligence для Майкрософт — Microsoft Sentinel (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли mimecast Администратор istration: Администратор istration | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
  • Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure
  1. ИД приложения
  2. Идентификатор клиента
  3. ИД клиента
  4. Секрет клиента

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

виртуальной сети:

ШАГ 1. Действия по настройке API Mimecast

Перейдите к портал Azure --- Регистрация приложений ---> [your_app]> ---> сертификаты и секреты ---> новый секрет клиента и создайте новый секрет (сохраните значение где-то безопасно сразу, так как вы не сможете просмотреть его позже)

ШАГ 2. Развертывание API Mimecast Подключение or

ВАЖНО. Прежде чем развертывать соединитель API Mimecast, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Mimecast или token, легко доступные.

Включите Mimecast Intelligence для Майкрософт — Microsoft Sentinel Подключение or:

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Заполните следующие поля:

  • appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения на платформе Azure
  • objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения --- идентификатор объекта ----->> профиля
  • app Аналитика Location(default): westeurope
  • mimecastEmail: адрес электронной почты выделенного пользователя для этого integraion
  • mimecastPassword: пароль для выделенного пользователя
  • mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
  • mimecastBaseURL: базовый URL-адрес API mimecast для региональных mimecast
  • activeDirectoryAppId: портал Azure ---> Регистрация приложений --- [your_app]> ---> идентификатор приложения
  • activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты и секреты ---> [your_app_secret]
  • workspaceId: портал Azure ---> Рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> идентификатор рабочей области (или можно скопировать идентификатор рабочей области из выше)
  • workspaceKey: портал Azure ---> рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> первичный ключ (или скопировать workspaceKey из выше)
  • App Аналитика WorkspaceResourceID: портал Azure --- Рабочие области Log Analytics ---> [Ваша рабочая область] --->> Свойства ---> идентификатор ресурса

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.

  1. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  2. Нажмите кнопку " Купить" , чтобы развернуть.

  3. Перейдите к > группам ресурсов портал Azure --- --- [your_resource_group] --->> [appName](тип: учетная запись служба хранилища)>> --- Обозреватель службы хранилища --- контейнеры BLOB-объектов --- TIR проверка points --->> Отправить и создать пустой файл на компьютере с именем проверка point.txt и выберите его для отправки (это делается так, чтобы date_range для журналов ТИР хранится в согласованном состоянии)

Дополнительная конфигурация:

Подключение на Данные Подключение платформ аналитики угроз. Следуйте инструкциям на странице соединителя и нажмите кнопку подключения.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.