Поделиться через

Соединитель Mimecast Targeted Threat Protection (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Продукты Mimecast, включенные в соединитель, :

  • Защита URL-адреса
  • Защита олицетворения
  • Защита вложений

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Mimecast

Примеры запросов

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Mimecast Targeted Threat Protection (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения REST API. Для настройки интеграции вам потребуется следующее:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли mimecast Администратор istration: Администратор istration | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Инструкции по установке поставщика

Группа ресурсов

Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.

Приложение функций

Для использования этого соединителя необходимо зарегистрировать приложение Azure

  1. ИД приложения
  2. Идентификатор клиента
  3. ИД клиента
  4. Секрет клиента

Примечание.

Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

виртуальной сети:

ШАГ 1. Действия по настройке API Mimecast

Перейдите к портал Azure --- Регистрация приложений ---> [your_app]> ---> сертификаты и секреты ---> новый секрет клиента и создайте новый секрет (сохраните значение где-то безопасно сразу, так как вы не сможете просмотреть его позже)

ШАГ 2. Развертывание API Mimecast Подключение or

ВАЖНО. Прежде чем развертывать соединитель API Mimecast, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API Mimecast или token, легко доступные.

Разверните Подключение azure Mimecast Targeted Threat Protection Data Подключение or:

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Заполните следующие поля:

  • appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения на платформе Azure
  • objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения --- идентификатор объекта ----->> профиля
  • app Аналитика Location(default): westeurope
  • mimecastEmail: адрес электронной почты выделенного пользователя для этого integraion
  • mimecastPassword: пароль для выделенного пользователя
  • mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
  • mimecastBaseURL: базовый URL-адрес API mimecast для региональных mimecast
  • activeDirectoryAppId: портал Azure ---> Регистрация приложений --- [your_app]> ---> идентификатор приложения
  • activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты и секреты ---> [your_app_secret]
  • workspaceId: портал Azure ---> Рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> идентификатор рабочей области (или можно скопировать идентификатор рабочей области из выше)
  • workspaceKey: портал Azure ---> рабочие области Log Analytics --- [Ваша рабочая область]> ---> Агенты ---> первичный ключ (или скопировать workspaceKey из выше)
  • App Аналитика WorkspaceResourceID: портал Azure --- Рабочие области Log Analytics ---> [Ваша рабочая область] --->> Свойства ---> идентификатор ресурса

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.

  1. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  2. Нажмите кнопку " Купить" , чтобы развернуть.

  3. Перейдите к > группам ресурсов портал Azure --- ---> [your_resource_group]> --- [appName](тип: учетная запись служба хранилища)>> --- Обозреватель службы хранилища --- КОНТЕЙНЕРОВ BLOB-объектов --- TTP проверка> точек ---> отправлять и создавать пустые файлы на компьютере с именем вложения проверка point.txt, олицетворение-проверка point.txt, URL-проверка point.txt и выберите их для отправки (это делается так, чтобы date_range для журналов TTP хранятся в согласованном состоянии)

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.