Connecteur Mimecast Audit (avec Azure Functions) pour Microsoft Sentinel
Le connecteur de données pour Mimecast Audit offre aux clients une visibilité sur les événements de sécurité liés aux événements d’audit et d’authentification au sein de Microsoft Sentinel. Le connecteur de données fournit des tableaux de bord pré-créés qui permet aux analystes de consulter des insights sur l’activité des utilisateurs, de faciliter la corrélation des incidents et de réduire les temps de réponse des enquêtes avec des fonctionnalités personnalisées.
Les produits Mimecast inclus dans le connecteur sont les suivants : Audit
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | MimecastAudit_CL |
| Support des Règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Mimecast |
Exemples de requête
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer Mimecast Audit (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Abonnement à Azure : un abonnement à Azure avec un rôle de propriétaire est requis pour enregistrer une application dans Microsoft Entra ID et attribuer un rôle de contributeur à une application dans un groupe de ressources.
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de l’API REST : consultez la Documentation de référence de l’API Rest pour en savoir plus sur l’API
Instructions d’installation du fournisseur
Remarque
Ce connecteur utilise Azure Functions pour se connecter à une API Mimecast afin d’extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Configuration :
ÉTAPE 1 : configuration des étapes pour l’API Mimecast
Accédez à Portail Azure ---> Inscriptions d’applications --->[votre_application] ---> Certificats et secrets ---> Nouvelle clé secrète client, puis créez un secret (enregistrez immédiatement la valeur dans un emplacement sécurisé, car vous ne pourrez pas en afficher un aperçu plus tard)
ÉTAPE 2 : déployer le connecteur API Mimecast
IMPORTANT : avant de déployer le connecteur API Mimecast, ayez à disposition l’ID et la clé primaire de l’espace de travail (que vous pouvez copier à partir de ce qui suit), ainsi que le jeton ou la ou les clés d’autorisation d’API de Mimecast.
Déployer le connecteur de données Mimecast Audit :
Utilisez cette méthode pour le déploiement automatisé du connecteur de données Mimecast Audit.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre région préférés.
Entrez les informations ci-dessous : ID de l’espace de travail, Clé de l’espace de travail, URL de base (par défaut : https://api.services.mimecast.com), Date de début, ID client Mimecast, Clé secrète client Mimecast, Niveau de consignation (par défaut : INFO), Planification (0 0 */1 * * *), ID de ressource de l’espace de travail App Insights
Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
Cliquez sur Acheter pour déployer.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.