Соединитель Secure Email Gateway Mimecast (с помощью Функции Azure) для Microsoft Sentinel

Соединитель данных для Шлюза безопасной электронной почты Mimecast позволяет легко собирать журналы из безопасного шлюза электронной почты для получения сведений о электронной почте и действий пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast:

  • Безопасный шлюз электронной почты Mimecast
  • Предотвращение утечки данных Mimecast

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics MimecastSIEM_CL
MimecastDLP_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Mimecast

Примеры запросов

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Mimecast Secure Email Gateway (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли mimecast Администратор istration: Администратор istration | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
  • Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure
  1. ИД приложения
  2. Идентификатор клиента
  3. ИД клиента
  4. Секрет клиента

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

виртуальной сети:

ШАГ 1. Действия по настройке API Mimecast

Перейдите к портал Azure --- Регистрация приложений ---> [your_app]> ---> сертификаты и секреты ---> новый секрет клиента и создайте новый секрет (сохраните значение где-то безопасно сразу, так как вы не сможете просмотреть его позже)

ШАГ 2. Развертывание API Mimecast Подключение or

ВАЖНО. Прежде чем развертывать соединитель API Mimecast, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Mimecast или token, легко доступные.

Разверните Подключение Подключение данных шлюза электронной почты Mimecast Secure:

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Заполните следующие поля:

  • appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения на платформе Azure
  • objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения --- идентификатор объекта ----->> профиля
  • app Аналитика Location(default): westeurope
  • mimecastEmail: адрес электронной почты выделенного пользователя для этого integraion
  • mimecastPassword: пароль для выделенного пользователя
  • mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
  • mimecastBaseURL: базовый URL-адрес API mimecast для региональных mimecast
  • activeDirectoryAppId: портал Azure ---> Регистрация приложений --- [your_app]> ---> идентификатор приложения
  • activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты и секреты ---> [your_app_secret]
  • workspaceId: портал Azure ---> Рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> идентификатор рабочей области (или можно скопировать идентификатор рабочей области из выше)
  • workspaceKey: портал Azure ---> рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> первичный ключ (или скопировать workspaceKey из выше)
  • App Аналитика WorkspaceResourceID: портал Azure --- Рабочие области Log Analytics ---> [Ваша рабочая область] --->> Свойства ---> идентификатор ресурса

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.

  1. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  2. Нажмите кнопку " Купить" , чтобы развернуть.

  3. Перейдите портал Azure ---> к группам ресурсов --- --- [your_resource_group]> ---> [appName](тип: учетная запись служба хранилища)>> --- Обозреватель службы хранилища --- контейнерах BLOB-объектов --- SIEM проверка points --->> Отправить и создать пустой файл на компьютере с именем проверка point.txt, dlp-проверка point.txt и выберите его для отправки (это сделано так, чтобы date_range для журналов SIEM хранится в согласованном состоянии)

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.