適用於 Microsoft Sentinel 的 Mimecast Audit & Authentication (使用 Azure Functions) 連接器
Mimecast Audit & Authentication 的數據連接器可讓客戶瞭解與 Microsoft Sentinel 內稽核和驗證事件相關的安全性事件。 數據連接器提供預先建立的儀錶板,可讓分析師檢視用戶活動的深入解析、協助事件相互關聯,並減少與自定義警示功能結合的調查回應時間。
連接器中包含的Mimecast產品包括:稽核和驗證
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | MimecastAudit_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Mimecast |
查詢範例
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
必要條件
若要與 Mimecast Audit & Authentication 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Mimecast API 認證:您需要有下列資訊才能設定整合:
- mimecastEmail:專用Mimecast系統管理員用戶的電子郵件位址
- mimecastPassword:專用Mimecast系統管理員用戶的密碼
- mimecastAppId:Mimecast Microsoft Sentinel 應用程式向Mimecast註冊的 API 應用程式識別碼
- mimecastAppKey:Mimecast Microsoft Sentinel 應用程式向 Mimecast 註冊的 API 應用程式密鑰
- mimecastAccessKey:專用Mimecast系統管理員使用者的存取密鑰
- mimecastSecretKey:專用Mimecast系統管理員使用者的秘密密鑰
- mimecastBaseURL:Mimecast 區域 API 基底 URL
Mimecast 應用程式識別碼、應用程式密鑰,以及專用 Mimecast 系統管理員使用者的存取密鑰和秘密金鑰,可透過 Mimecast 管理員 istration 控制台取得:管理員 istration |服務 |API 和平臺整合。
每個區域的 Mimecast API 基底 URL 記載於此處: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- 資源群組:您必須使用即將使用的訂用帳戶建立資源群組。
- Functions 應用程式:您必須註冊 Azure 應用程式,才能使用此連接器
- 應用程式識別碼
- 用戶識別碼
- 用戶端識別碼
- 用戶端祕密
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Mimecast API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
設定:
步驟 1 - Mimecast API 的設定步驟
移至 [Azure 入口網站 ---> 應用程式註冊 ---> [your_app] --->憑證和秘密,>---新的客戶端密碼並建立新的秘密(將值儲存在安全的地方,因為您稍後將無法預覽它)
步驟 2 - 部署 Mimecast API 連線 or
重要事項: 部署Mimecast API 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及Mimecast API授權密鑰(s) 或令牌,隨時可供使用。
部署 Mimecast Audit & Authentication Data 連線 or:
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入下欄位:
- appName:將作為 Azure 平臺中應用程式識別碼的唯一字串
- objectId:Azure 入口網站 ---> Azure Active Directory --->配置檔 -------->>對象標識符的詳細資訊
- appInsightsLocation(預設值):westeurope
- mimecastEmail:此 integraion 專用使用者的電子郵件位址
- mimecastPassword:專用用戶的密碼
- mimecastAppId:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式識別碼
- mimecastAppKey:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式密鑰
- mimecastAccessKey:專用Mimecast使用者的存取密鑰
- mimecastSecretKey:專用Mimecast使用者的秘密密鑰
- mimecastBaseURL:區域 Mimecast API 基底 URL
- activeDirectoryAppId: Azure 入口網站 --- 應用程式註冊 --->> [your_app] --->應用程式識別符
- activeDirectoryAppSecret:Azure 入口網站 --- 應用程式註冊 --->> [your_app] --->憑證和秘密---> [your_app_secret]
- workspaceId:Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] --- Agents --->>工作區標識符 (或者您可以從上方複製 workspaceId)
- workspaceKey:Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] ---代理程序--->>主鍵 (或者您可以從上方複製 workspaceKey)
- AppInsightsWorkspaceResourceID :Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] ---属性--->>資源標識符
注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需進一步的詳細數據,請參閱 金鑰保存庫 參考檔。
標示為 [我同意上述條款及條件] 的複選框。
按兩下 [ 購買 ] 以部署。
移至 [Azure 入口網站 --- 資源群組>] --- [your_resource_group] --- [appName](類型: 儲存體 帳戶)> ---儲存體總管 --->> BLOB 容器>---稽核檢查點>---上傳並建立空白 checkpoint.txt檔案,然後選取它進行上傳 (這麼做可讓 SIEM 記錄的date_range儲存在一致狀態)>
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。