共用方式為


適用於 Microsoft Sentinel 的 Mimecast Secure Email Gateway (使用 Azure Functions) 連接器

Mimecast Secure Email Gateway 的數據連接器 可讓您輕鬆地從安全電子郵件閘道 收集記錄,以呈現 Microsoft Sentinel 內的電子郵件深入解析和用戶活動。 數據連接器提供預先建立的儀錶板,可讓分析師檢視電子郵件型威脅的深入解析、協助事件相互關聯,並減少與自定義警示功能結合的調查回應時間。 需要Mimecast產品與功能:

  • Mimecast Secure Email Gateway
  • Mimecast 數據外洩防護

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) MimecastSIEM_CL
MimecastDLP_CL
數據收集規則支援 目前不支援
支援者: Mimecast

查詢範例

MimecastSIEM_CL

MimecastSIEM_CL

| sort by TimeGenerated desc

MimecastDLP_CL

MimecastDLP_CL

| sort by TimeGenerated desc

必要條件

若要與 Mimecast Secure Email Gateway 整合(使用 Azure Functions),請確定您有:

  • Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions
  • Mimecast API 認證:您需要有下列資訊才能設定整合:
  • mimecastEmail:專用Mimecast系統管理員用戶的電子郵件位址
  • mimecastPassword:專用Mimecast系統管理員用戶的密碼
  • mimecastAppId:Mimecast Microsoft Sentinel 應用程式向Mimecast註冊的 API 應用程式識別碼
  • mimecastAppKey:Mimecast Microsoft Sentinel 應用程式向 Mimecast 註冊的 API 應用程式密鑰
  • mimecastAccessKey:專用Mimecast系統管理員使用者的存取密鑰
  • mimecastSecretKey:專用Mimecast系統管理員使用者的秘密密鑰
  • mimecastBaseURL:Mimecast 區域 API 基底 URL

Mimecast 應用程式識別碼、應用程式密鑰,以及專用 Mimecast 系統管理員使用者的存取密鑰和秘密金鑰,可透過 Mimecast 管理員 istration 控制台取得:管理員 istration |服務 |API 和平臺整合。

每個區域的 Mimecast API 基底 URL 記載於此處: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • 資源群組:您必須使用即將使用的訂用帳戶建立資源群組。
  • Functions 應用程式:您必須註冊 Azure 應用程式,才能使用此連接器
  1. 應用程式識別碼
  2. 用戶識別碼
  3. 用戶端識別碼
  4. 用戶端祕密

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Mimecast API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

設定:

步驟 1 - Mimecast API 的設定步驟

移至 Azure 入口網站 --->> 應用程式註冊 --- [your_app] --->憑證和秘密,--->新的客戶端密碼並建立新的秘密(立即將值儲存在安全的地方,因為您稍後將無法預覽)

步驟 2 - 部署 Mimecast API 連線 or

重要事項: 部署Mimecast API 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及Mimecast API授權密鑰(s) 或令牌,隨時可供使用。

部署 Mimecast Secure Email Gateway 數據 連線 or:

  1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

    部署至 Azure

  2. 選取慣用 的訂用帳戶資源群組位置

  3. 輸入下欄位:

  • appName:將作為 Azure 平臺中應用程式識別碼的唯一字串
  • objectId:Azure 入口網站 ---> Azure Active Directory --->配置檔 -------->>對象標識符的詳細資訊
  • appInsightsLocation(預設值):westeurope
  • mimecastEmail:此 integraion 專用使用者的電子郵件位址
  • mimecastPassword:專用用戶的密碼
  • mimecastAppId:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式識別碼
  • mimecastAppKey:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式密鑰
  • mimecastAccessKey:專用Mimecast使用者的存取密鑰
  • mimecastSecretKey:專用Mimecast使用者的秘密密鑰
  • mimecastBaseURL:區域 Mimecast API 基底 URL
  • activeDirectoryAppId: Azure 入口網站 --- 應用程式註冊 ---> [your_app] --->>應用程式識別符
  • activeDirectoryAppSecret:Azure 入口網站 ---應用程式註冊 --->> [your_app] --->憑證與秘密---> [your_app_secret]
  • workspaceId:Azure 入口網站 ---> Log Analytics Workspaces ---> [您的工作區] --- Agents --->>工作區標識符 (或者您可以從上方複製 workspaceId)
  • workspaceKey:Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] ---代理程式>--->主鍵 (或者您可以從上方複製 workspaceKey)
  • AppInsightsWorkspaceResourceID :Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] --->属性--->>資源標識符

注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔

  1. 標示為 [我同意上述條款及條件] 的複選框。

  2. 按兩下 [ 購買 ] 以部署。

  3. 移至 [Azure 入口網站 --- 資源群組>] --- [your_resource_group] ---> [appName](類型:儲存體 帳戶)--->>儲存體總管 --- BLOB 容器>--- SIEM 檢查點>---上傳並在名為 checkpoint.txt 的計算機上建立空白檔案,dlp-checkpoint.txt並加以選取以進行上傳 (這樣做可讓 SIEM 記錄date_range儲存在一致狀態)>

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案