Konektor TAP proofpointu (pomocí Azure Functions) pro Microsoft Sentinel
Konektor tap (Proofpoint Targeted Attack Protection) poskytuje možnost ingestovat protokoly a události tap proofpointu do Služby Microsoft Sentinel. Konektor poskytuje přehled o událostech zpráv a kliknutí v Microsoft Sentinelu k zobrazení řídicích panelů, vytváření vlastních upozornění a ke zlepšení možností monitorování a vyšetřování.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Povolené události kliknutí na malware
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Zablokované události útoku phishing
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Doručované události malwarových zpráv
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Zablokované události phishingových zpráv
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Požadavky
Pokud se chcete integrovat s proofpoint TAP (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Klíč rozhraní API proofpointu: Vyžaduje se uživatelské jméno rozhraní API a heslo rozhraní API proofpointu. Další informace o rozhraní PROOFPOINT SIEM API najdete v dokumentaci.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k proofpointu TAP k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
KROK 1 – Kroky konfigurace pro rozhraní API Proofpoint TAP
- Přihlaste se ke konzole Proofpoint TAP.
- Přejděte na Připojení Aplikace a vyberte Instanční objekt.
- Vytvoření instančního objektu (autorizační klíč rozhraní API)
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením konektoru Proofpoint TAP zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také ověřovací klíče rozhraní TAP API, které jsou snadno dostupné.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.