Konektor MailRisk by Secure Practice (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor pro odesílání e-mailů z MailRisk do Microsoft Sentinel Log Analytics

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics MailRiskEmails_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Zabezpečený postup

Ukázky dotazů

Všechny e-maily

MailRiskEmails_CL

| sort by TimeGenerated desc

E-maily s předáváním SPF

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

E-maily s konkrétní kategorií

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

E-maily s adresami URL odkazu, které obsahují řetězec "microsoft".

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Požadavky

Pokud chcete integrovat službu MailRisk pomocí funkce Secure Practice (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje rozhraní API: Je potřeba použít také pár klíčů rozhraní API pro zabezpečený postup, který se vytvoří v nastavení na portálu pro správu. Pokud jste ztratili tajný klíč rozhraní API, můžete vygenerovat nový pár klíčů (UPOZORNĚNÍ: Všechny ostatní integrace pomocí starého páru klíčů přestanou fungovat).

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní Secure Practice API k zápisu protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

Mějte id pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) snadno dostupné.

Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení datového konektoru MailRisk pomocí šablony ARM.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, klíč zabezpečeného praktického rozhraní API, tajný klíč zabezpečeného rozhraní API pro praktické cvičení.

  4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  5. Kliknutím na Koupit nasadíte.

Ruční nasazení

V opensourcovém úložišti na GitHubu najdete pokyny k ručnímu nasazení datového konektoru.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.