適用於 Microsoft Sentinel 的 Mimecast 目標威脅防護 (使用 Azure Functions) 連接器
Mimecast Targeted Threat Protection 的數據連接器可讓客戶瞭解與 Microsoft Sentinel 內目標威脅防護檢查技術相關的安全性事件。 數據連接器提供預先建立的儀錶板,可讓分析師檢視電子郵件型威脅的深入解析、協助事件相互關聯,並減少與自定義警示功能結合的調查回應時間。
連接器中包含的 Mimecast 產品包括:
- URL 保護
- 模擬保護
- 附件保護
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | MimecastTTPUrl_CL MimecastTTPAttachment_CL MimecastTTPImpersonation_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Mimecast |
查詢範例
MimecastTTPUrl_CL
MimecastTTPUrl_CL
| sort by TimeGenerated desc
MimecastTTPAttachment_CL
MimecastTTPAttachment_CL
| sort by TimeGenerated desc
MimecastTTPImpersonation_CL
MimecastTTPImpersonation_CL
| sort by TimeGenerated desc
必要條件
若要與Mimecast目標威脅防護整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- REST API 認證/許可權:您需要有下列資訊片段來設定整合:
- mimecastEmail:專用Mimecast系統管理員用戶的電子郵件位址
- mimecastPassword:專用Mimecast系統管理員用戶的密碼
- mimecastAppId:Mimecast Microsoft Sentinel 應用程式向Mimecast註冊的 API 應用程式識別碼
- mimecastAppKey:Mimecast Microsoft Sentinel 應用程式向 Mimecast 註冊的 API 應用程式密鑰
- mimecastAccessKey:專用Mimecast系統管理員使用者的存取密鑰
- mimecastSecretKey:專用Mimecast系統管理員使用者的秘密密鑰
- mimecastBaseURL:Mimecast 區域 API 基底 URL
Mimecast 應用程式識別碼、應用程式密鑰,以及專用 Mimecast 系統管理員使用者的存取密鑰和秘密金鑰,可透過 Mimecast 管理員 istration 控制台取得:管理員 istration |服務 |API 和平臺整合。
每個區域的 Mimecast API 基底 URL 記載於此處: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
廠商安裝指示
資源群組
您必須使用即將使用的訂用帳戶建立資源群組。
Functions 應用程式
您必須註冊 Azure 應用程式,才能使用此連接器
- 應用程式識別碼
- 用戶識別碼
- 用戶端識別碼
- 用戶端祕密
注意
此連接器會使用 Azure Functions 連線到 Mimecast API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)安全地將工作區和 API 授權金鑰或令牌儲存在 Azure 金鑰保存庫 中。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
設定:
步驟 1 - Mimecast API 的設定步驟
移至 [Azure 入口網站 --->應用程式註冊 ---> [your_app] --->憑證和秘密,--->新的客戶端密碼並建立新的秘密(將值儲存在安全的地方,因為您稍後將無法預覽它)
步驟 2 - 部署 Mimecast API 連線 or
重要事項: 部署Mimecast API 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及Mimecast API授權密鑰(s) 或令牌,隨時可供使用。
部署Mimecast目標威脅防護資料 連線 或:
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入下欄位:
- appName:將作為 Azure 平臺中應用程式識別碼的唯一字串
- objectId:Azure 入口網站 ---> Azure Active Directory --->配置檔 -------->>對象標識符的詳細資訊
- appInsightsLocation(預設值):westeurope
- mimecastEmail:此 integraion 專用使用者的電子郵件位址
- mimecastPassword:專用用戶的密碼
- mimecastAppId:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式識別碼
- mimecastAppKey:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式密鑰
- mimecastAccessKey:專用Mimecast使用者的存取密鑰
- mimecastSecretKey:專用Mimecast使用者的秘密密鑰
- mimecastBaseURL:區域 Mimecast API 基底 URL
- activeDirectoryAppId: Azure 入口網站 --- 應用程式註冊 --->> [your_app] --->應用程式識別符
- activeDirectoryAppSecret:Azure 入口網站 --- [>your_app] 應用程式註冊 --- --->>憑證與秘密>--- [your_app_secret]
- workspaceId:Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] ---代理程式>--->>工作區標識符 (或者您可以從上方複製 workspaceId)
- workspaceKey:Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] ---代理程序--->>主鍵 (或者您可以從上方複製 workspaceKey)
- AppInsightsWorkspaceResourceID :Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] --->属性--->>資源標識符
注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需進一步的詳細數據,請參閱 金鑰保存庫 參考檔。
標示為 [我同意上述條款及條件] 的複選框。
按兩下 [ 購買 ] 以部署。
移至 Azure 入口網站 --- 資源群組---> [your_resource_group] ---> [appName](類型: 儲存體 帳戶) --->> 儲存體總管 --- BLOB 容器>--- TTP 檢查點>---上傳並在名為 attachment-checkpoint.txt、impersonation-checkpoint.txt、url-checkpoint.txt的計算機上建立空的檔案,然後選取它們進行上傳 (這麼做可讓date_>TTP 記錄的範圍會以一致狀態儲存)
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。