Mimecast Intelligence для Майкрософт — соединитель Microsoft Sentinel (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных для Mimecast Intelligence для Майкрософт предоставляет региональную аналитику угроз, курированную с помощью технологий проверки электронной почты Mimecast с предварительно созданными панелями мониторинга, чтобы аналитики могли просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на расследование.
Необходимые продукты и функции Mimecast:
- Безопасный шлюз электронной почты Mimecast
- Аналитика угроз Mimecast
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | Event(ThreatIntelligenceIndicator) |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Mimecast |
Примеры запросов
ThreatIntelligenceIndicator
ThreatIntelligenceIndicator
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Mimecast Intelligence для Майкрософт — Microsoft Sentinel (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
- mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
- mimecastPassword: пароль для выделенного пользователя администратора Mimecast
- mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
- mimecastBaseURL: URL-адрес базового API Mimecast
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли mimecast Администратор istration: Администратор istration | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure
- ИД приложения
- Идентификатор клиента
- ИД клиента
- Секрет клиента
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
виртуальной сети:
ШАГ 1. Действия по настройке API Mimecast
Перейдите к портал Azure --- Регистрация приложений ---> [your_app]> ---> сертификаты и секреты ---> новый секрет клиента и создайте новый секрет (сохраните значение где-то безопасно сразу, так как вы не сможете просмотреть его позже)
ШАГ 2. Развертывание API Mimecast Подключение or
ВАЖНО. Прежде чем развертывать соединитель API Mimecast, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Mimecast или token, легко доступные.
Включите Mimecast Intelligence для Майкрософт — Microsoft Sentinel Подключение or:
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Заполните следующие поля:
- appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения на платформе Azure
- objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения --- идентификатор объекта ----->> профиля
- app Аналитика Location(default): westeurope
- mimecastEmail: адрес электронной почты выделенного пользователя для этого integraion
- mimecastPassword: пароль для выделенного пользователя
- mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
- mimecastBaseURL: базовый URL-адрес API mimecast для региональных mimecast
- activeDirectoryAppId: портал Azure ---> Регистрация приложений --- [your_app]> ---> идентификатор приложения
- activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты и секреты ---> [your_app_secret]
- workspaceId: портал Azure ---> Рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> идентификатор рабочей области (или можно скопировать идентификатор рабочей области из выше)
- workspaceKey: портал Azure ---> рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> первичный ключ (или скопировать workspaceKey из выше)
- App Аналитика WorkspaceResourceID: портал Azure --- Рабочие области Log Analytics ---> [Ваша рабочая область] --->> Свойства ---> идентификатор ресурса
Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})
вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".
Нажмите кнопку " Купить" , чтобы развернуть.
Перейдите к > группам ресурсов портал Azure --- --- [your_resource_group] --->> [appName](тип: учетная запись служба хранилища)>> --- Обозреватель службы хранилища --- контейнеры BLOB-объектов --- TIR проверка points --->> Отправить и создать пустой файл на компьютере с именем проверка point.txt и выберите его для отправки (это делается так, чтобы date_range для журналов ТИР хранится в согласованном состоянии)
Дополнительная конфигурация:
Подключение на Данные Подключение платформ аналитики угроз. Следуйте инструкциям на странице соединителя и нажмите кнопку подключения.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.