Microsoft Sentinel için Mimecast Hedefli Tehdit Koruması (Azure İşlevleri kullanarak) bağlayıcısı

Mimecast Hedefli Tehdit Koruması için veri bağlayıcısı, müşterilere Microsoft Sentinel'deki Hedeflenen Tehdit Koruması denetim teknolojileriyle ilgili güvenlik olaylarıyla ilgili görünürlük sağlar. Veri bağlayıcısı, analistlerin e-posta tabanlı tehditlere ilişkin içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar.
Bağlayıcıya dahil edilen Mimecast ürünleri şunlardır:

  • URL Koruması
  • Kimliğe Bürünme Koruması
  • Ek Koruması

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Mimecast

Sorgu örnekleri

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Önkoşullar

Mimecast Hedefli Tehdit Koruması ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • REST API Kimlik Bilgileri/izinleri: Tümleştirmeyi yapılandırmak için aşağıdaki bilgi parçalarına sahip olmanız gerekir:
  • mimecastEmail: Ayrılmış bir Mimecast yönetici kullanıcısının e-posta adresi
  • mimecastPassword: Ayrılmış Mimecast yönetici kullanıcısının parolası
  • mimecastAppId: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Kimliği
  • mimecastAppKey: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Anahtarı
  • mimecastAccessKey: Ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı
  • mimecastSecretKey: Ayrılmış Mimecast yönetici kullanıcısı için Gizli Anahtar
  • mimecastBaseURL: Mimecast Bölgesel API Temel URL'si

Mimecast Uygulama Kimliği, Uygulama Anahtarı ve ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı ve Gizli Anahtarlar, Mimecast Yönetici istration Konsolu: Yönetici istration | Hizmetler | API ve Platform Tümleştirmeleri.

Her bölge için Mimecast API Temel URL'si burada belgelenmiştir: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Satıcı yükleme yönergeleri

Kaynak grubu

Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.

İşlevler uygulaması

Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması sahip olmanız gerekir

  1. Uygulama Kimliği
  2. Kiracı Kimliği
  3. İstemci Kimliği
  4. İstemci Gizli Anahtarı

Not

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

[your_app]> Uygulama kayıtları ---> ---> --- Sertifikalar ve gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlan veya dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Mimecast API yetkilendirme anahtarlarını veya Belirtecini hazır olarak kullanabilirsiniz.

Mimecast Hedeflenen Tehdit Koruması Veri Bağlan veyasını dağıtın:

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Aşağıdaki alanları girin:

  • appName: Azure platformunda uygulamanın kimliği olarak kullanılacak benzersiz dize
  • objectId: Azure portal ---> Azure Active Directory --- profil -----> nesne kimliği --->> daha fazla bilgi
  • app Analizler Location(varsayılan): westeurope
  • mimecastEmail: Bu dağıtım için ayrılmış kullanıcının e-posta adresi
  • mimecastPassword: Ayrılmış kullanıcı parolası
  • mimecastAppId: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından uygulama kimliği
  • mimecastAppKey: Microsoft Sentinel uygulamasından Mimecast ile kaydedilen Uygulama Anahtarı
  • mimecastAccessKey: Ayrılmış Mimecast kullanıcısı için Erişim Anahtarı
  • mimecastSecretKey: Ayrılmış Mimecast kullanıcısı için Gizli Anahtar
  • mimecastBaseURL: Bölgesel Mimecast API'si Temel URL'si
  • activeDirectoryAppId: Azure portal --- Uygulama kayıtları --->> [your_app] ---> Uygulama Kimliği
  • activeDirectoryAppSecret: Azure portal ---> Uygulama kayıtları ---> [your_app] ---> Sertifikalar ve gizli diziler ---> [your_app_secret]
  • workspaceId: Azure portal ---> Log Analytics Çalışma Alanları ---> [Çalışma alanınız] ---> Aracılar ---> Çalışma Alanı Kimliği (veya yukarıdaki workspaceId değerini kopyalayabilirsiniz)
  • workspaceKey: Azure portal ---> Log Analytics Çalışma Alanları ---> [Çalışma alanınız] ---> Aracılar ---> Birincil Anahtar (veya çalışma alanı Anahtarını yukarıdan kopyalayabilirsiniz)
  • App Analizler WorkspaceResourceID : Azure portal ---> Log Analytics Çalışma Alanları ---> [Çalışma alanınız] ---> Özellikleri ---> Kaynak Kimliği

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.

  1. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  2. Dağıtmak için Satın Al'a tıklayın.

  3. [--- your_resource_group] --->> [appName](tür: Depolama hesap --->) --- Azure portalına gidin Depolama> Gezgini> --- BLOB KAPSAYıCıLAR --- TTP denetim noktaları> ---> makinenizde attachment-checkpoint.txt, impersonation-checkpoint.txt url-checkpoint.txt adlı boş dosyaları karşıya yükleyip oluşturun ve karşıya yüklemek için bu dosyaları seçin (bu işlem TTP günlükleri için date_range depolanması için yapılır) tutarlı durumda)

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.