共用方式為


適用於 Microsoft Sentinel 的 Mimecast 目標威脅防護 (使用 Azure Functions) 連接器

Mimecast Targeted Threat Protection 的數據連接器可讓客戶瞭解與 Microsoft Sentinel 內目標威脅防護檢查技術相關的安全性事件。 數據連接器提供預先建立的儀錶板,可讓分析師檢視電子郵件型威脅的深入解析、協助事件相互關聯,並減少與自定義警示功能結合的調查回應時間。
連接器中包含的 Mimecast 產品包括:

  • URL 保護
  • 模擬保護
  • 附件保護

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL
數據收集規則支援 目前不支援
支援者: Mimecast

查詢範例

MimecastTTPUrl_CL

MimecastTTPUrl_CL

| sort by TimeGenerated desc

MimecastTTPAttachment_CL

MimecastTTPAttachment_CL

| sort by TimeGenerated desc

MimecastTTPImpersonation_CL

MimecastTTPImpersonation_CL

| sort by TimeGenerated desc

必要條件

若要與Mimecast目標威脅防護整合(使用 Azure Functions),請確定您有:

  • Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions
  • REST API 認證/許可權:您需要有下列資訊片段來設定整合:
  • mimecastEmail:專用Mimecast系統管理員用戶的電子郵件位址
  • mimecastPassword:專用Mimecast系統管理員用戶的密碼
  • mimecastAppId:Mimecast Microsoft Sentinel 應用程式向Mimecast註冊的 API 應用程式識別碼
  • mimecastAppKey:Mimecast Microsoft Sentinel 應用程式向 Mimecast 註冊的 API 應用程式密鑰
  • mimecastAccessKey:專用Mimecast系統管理員使用者的存取密鑰
  • mimecastSecretKey:專用Mimecast系統管理員使用者的秘密密鑰
  • mimecastBaseURL:Mimecast 區域 API 基底 URL

Mimecast 應用程式識別碼、應用程式密鑰,以及專用 Mimecast 系統管理員使用者的存取密鑰和秘密金鑰,可透過 Mimecast 管理員 istration 控制台取得:管理員 istration |服務 |API 和平臺整合。

每個區域的 Mimecast API 基底 URL 記載於此處: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

廠商安裝指示

資源群組

您必須使用即將使用的訂用帳戶建立資源群組。

Functions 應用程式

您必須註冊 Azure 應用程式,才能使用此連接器

  1. 應用程式識別碼
  2. 用戶識別碼
  3. 用戶端識別碼
  4. 用戶端祕密

注意

此連接器會使用 Azure Functions 連線到 Mimecast API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟)安全地將工作區和 API 授權金鑰或令牌儲存在 Azure 金鑰保存庫 中。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

設定:

步驟 1 - Mimecast API 的設定步驟

移至 [Azure 入口網站 --->應用程式註冊 ---> [your_app] --->憑證和秘密,--->新的客戶端密碼並建立新的秘密(將值儲存在安全的地方,因為您稍後將無法預覽它)

步驟 2 - 部署 Mimecast API 連線 or

重要事項: 部署Mimecast API 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及Mimecast API授權密鑰(s) 或令牌,隨時可供使用。

部署Mimecast目標威脅防護資料 連線 或:

  1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

    部署至 Azure

  2. 選取慣用 的訂用帳戶資源群組位置

  3. 輸入下欄位:

  • appName:將作為 Azure 平臺中應用程式識別碼的唯一字串
  • objectId:Azure 入口網站 ---> Azure Active Directory --->配置檔 -------->>對象標識符的詳細資訊
  • appInsightsLocation(預設值):westeurope
  • mimecastEmail:此 integraion 專用使用者的電子郵件位址
  • mimecastPassword:專用用戶的密碼
  • mimecastAppId:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式識別碼
  • mimecastAppKey:向Mimecast註冊的 Microsoft Sentinel 應用程式的應用程式密鑰
  • mimecastAccessKey:專用Mimecast使用者的存取密鑰
  • mimecastSecretKey:專用Mimecast使用者的秘密密鑰
  • mimecastBaseURL:區域 Mimecast API 基底 URL
  • activeDirectoryAppId: Azure 入口網站 --- 應用程式註冊 --->> [your_app] --->應用程式識別符
  • activeDirectoryAppSecret:Azure 入口網站 --- [>your_app] 應用程式註冊 --- --->>憑證與秘密>--- [your_app_secret]
  • workspaceId:Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] ---代理程式>--->>工作區標識符 (或者您可以從上方複製 workspaceId)
  • workspaceKey:Azure 入口網站 ---> Log Analytics 工作區---> [您的工作區] ---代理程序--->>主鍵 (或者您可以從上方複製 workspaceKey)
  • AppInsightsWorkspaceResourceID :Azure 入口網站 ---> Log Analytics 工作區--- [您的工作區] --->属性--->>資源標識符

注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需進一步的詳細數據,請參閱 金鑰保存庫 參考檔

  1. 標示為 [我同意上述條款及條件] 的複選框。

  2. 按兩下 [ 購買 ] 以部署。

  3. 移至 Azure 入口網站 --- 資源群組---> [your_resource_group] ---> [appName](類型: 儲存體 帳戶) --->> 儲存體總管 --- BLOB 容器>--- TTP 檢查點>---上傳並在名為 attachment-checkpoint.txt、impersonation-checkpoint.txt、url-checkpoint.txt的計算機上建立空的檔案,然後選取它們進行上傳 (這麼做可讓date_>TTP 記錄的範圍會以一致狀態儲存)

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案