Mimecast Targeted Threat Protection (using Azure Functions) connector for Microsoft Sentinel
Mimecast Targeted Threat Protection 的數據連接器可讓客戶瞭解 Microsoft與 Sentinel 內目標威脅防護檢查技術相關的安全性事件。 數據連接器提供預先建立的儀錶板,可讓分析師檢視電子郵件型威脅的深入解析、協助事件相互關聯,並減少與自定義警示功能結合的調查回應時間。
連接器中包含的 Mimecast 產品包括:
- URL 保護
- 模擬保護
- 附件保護
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | MimecastTTPUrl_CL MimecastTTPAttachment_CL MimecastTTPImpersonation_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Mimecast |
查詢範例
MimecastTTPUrl_CL
MimecastTTPUrl_CL
| sort by TimeGenerated desc
MimecastTTPAttachment_CL
MimecastTTPAttachment_CL
| sort by TimeGenerated desc
MimecastTTPImpersonation_CL
MimecastTTPImpersonation_CL
| sort by TimeGenerated desc
必要條件
若要與Mimecast目標威脅防護整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- REST API 認證/許可權:您需要有下列資訊片段來設定整合:
- mimecastEmail:專用Mimecast系統管理員用戶的電子郵件位址
- mimecastPassword:專用Mimecast系統管理員用戶的密碼
- mimecastAppId:Mimecast Microsoft Sentinel 應用程式向Mimecast註冊的 API 應用程式識別碼
- mimecastAppKey:Mimecast Microsoft Sentinel 應用程式向 Mimecast 註冊的 API 應用程式密鑰
- mimecastAccessKey:專用Mimecast系統管理員使用者的存取密鑰
- mimecastSecretKey:專用Mimecast系統管理員使用者的秘密密鑰
- mimecastBaseURL:Mimecast 區域 API 基底 URL
Mimecast 應用程式識別碼、應用程式密鑰,以及專用 Mimecast 系統管理員使用者的存取金鑰和秘密金鑰,可透過 Mimecast 管理控制台取得:系統管理 |服務 |API 和平臺整合。
每個區域的 Mimecast API 基底 URL 記載於此處: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
廠商安裝指示
資源群組
您必須使用即將使用的訂用帳戶建立資源群組。
Functions 應用程式
您必須註冊 Azure 應用程式,才能使用此連接器
- 應用程式識別碼
- 用戶識別碼
- 用戶端識別碼
- 用戶端密碼
注意
此連接器會使用 Azure Functions 連線到 Mimecast API,將其記錄提取到 sentinel Microsoft。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
設定:
步驟 1 - Mimecast API 的設定步驟
移至 Azure 入口網站>> --- 應用程式註冊 --- [your_app] --->憑證和秘密--->新的客戶端密碼,並建立新的秘密(立即將值儲存在安全的地方,因為您稍後將無法預覽)
步驟 2 - 部署 Mimecast API 連接器
重要事項: 部署Mimecast API 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及Mimecast API授權密鑰(s) 或令牌,隨時可供使用。
部署Mimecast目標威脅防護資料連接器:
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入下欄位:
- appName:將作為 Azure 平臺中應用程式識別碼的唯一字串
- objectId:Azure 入口網站---> Azure Active Directory> --- --- Profile -----> 對象標識碼的詳細資訊>
- appInsightsLocation(預設值):westeurope
- mimecastEmail:此整合專用使用者的電子郵件位址
- mimecastPassword:專用用戶的密碼
- mimecastAppId:向Mimecast註冊之Microsoft Sentinel 應用程式的應用程式標識碼
- mimecastAppKey:向Mimecast註冊之Microsoft Sentinel 應用程式的應用程式密鑰
- mimecastAccessKey:專用Mimecast使用者的存取密鑰
- mimecastSecretKey:專用Mimecast使用者的秘密密鑰
- mimecastBaseURL:區域 Mimecast API 基底 URL
- activeDirectoryAppId: Azure 入口網站 --- 應用程式註冊 --->> [your_app] --->應用程式識別符
- activeDirectoryAppSecret: Azure 入口網站 ---> 應用程式註冊 ---> [your_app] --->憑證與秘密---> [your_app_secret]
- workspaceId:Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] --- Agents --->>工作區標識符 (或者您可以從上方複製 workspaceId)
- workspaceKey:Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] --->代理程式>--->主鍵 (或者您可以從上方複製 workspaceKey)
- AppInsightsWorkspaceResourceID :Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] --->>属性--->資源標識符
若針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述以取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。
選取標示為 [我同意上方所述的條款及條件] 的核取方塊。
按一下 [購買] 以部署。
移至 Azure 入口網站 --- 資源群組 ---> [your_resource_group] ---> [appName](類型:記憶體帳戶)>> --- 儲存體總管 --- BLOB 容器>--- TTP 檢查點>---上傳並建立空的檔案,attachment-checkpoint.txt、impersonation-checkpoint.txt、url-checkpoint.txt並選取它們進行上傳(這麼做可儲存 TTP 記錄的date_range>處於一致狀態 )
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。