Microsoft Sentinel용 Mimecast Audit(Azure Functions 사용) 커넥터
Mimecast Audit용 데이터 커넥터는 Microsoft Sentinel 내의 감사 및 인증 이벤트와 관련된 보안 이벤트에 대한 가시성을 고객에게 제공합니다. 데이터 커넥터는 분석가가 사용자 활동에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다.
커넥터에 포함된 Mimecast 제품은 다음과 같습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | MimecastAudit_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 지원 공급자 | Mimecast |
쿼리 샘플
MimecastAudit_CL
MimecastAudit_CL
| sort by TimeGenerated desc
필수 조건
Mimecast 감사(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.
- Azure 구독: Microsoft Entra ID에 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- REST API 자격 증명/권한: Rest API 참조에 대한 API에 대한 자세한 내용은 설명서를 참조하세요.
공급업체 설치 지침
참고 항목
이 커넥터는 Azure Functions를 사용하여 Mimecast API에 연결하여 Microsoft Sentinel로 해당 로그를 풀합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
구성:
1단계 - Mimecast API에 대한 구성 단계
Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 및 비밀 ---> 새 클라이언트 암호로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).
2단계 - Mimecast API 커넥터 배포
중요: Mimecast API 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론, Mimecast API 권한 부여 키 또는 토큰도 즉시 사용할 수 있도록 합니다.
Mimecast Audit Data Connector를 배포합니다.
Mimecast Audit Data 커넥터의 자동화된 배포에 이 메서드를 사용합니다.
아래에서 Azure에 배포 단추를 클릭합니다.
기본 구독, 리소스 그룹 및 지역을 선택합니다.
다음 정보를 입력합니다. 작업 영역 ID 작업 영역 키 기본 URL(기본값: https://api.services.mimecast.com) 시작 날짜 Mimecast 클라이언트 ID Mimecast 클라이언트 비밀 로그 수준(기본값: INFO) 일정(0 0 */1 * * *) App Insights 작업 영역 리소스 ID
위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.
구매를 클릭하여 배포합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.