Conector MailRisk de Secure Practice (mediante Azure Functions) para Microsoft Sentinel
Conector de datos para enviar correos electrónicos de MailRisk a Microsoft Sentinel Log Analytics.
Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | MailRiskEmails_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Práctica segura |
Ejemplos de consultas
Todos los correos electrónicos
MailRiskEmails_CL
| sort by TimeGenerated desc
Correos electrónicos con pase SPF
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
Correos electrónicos con categoría específica
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
Correos electrónicos con vínculos que contienen la cadena "microsoft"
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
Requisitos previos
Para integrar con MailRisk de Secure Practice (utilizando Azure Functions) asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Credenciales de API: también se necesita el par de claves de API de prácticas seguras, que se crean en la configuración del portal de administración. Si ha perdido el secreto de API, puede generar un nuevo par de claves (ADVERTENCIA: Cualquier otra integración que use el par de claves anterior dejará de funcionar).
Instrucciones de instalación del proveedor
Nota
Este conector utiliza Azure Functions para conectarse a Secure Practice API y enviar los registros a Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
Tenga a mano el Id. del área de trabajo y la clave principal del área de trabajo (se puede copiar de lo siguiente).
Plantilla de Azure Resource Manager (ARM)
Utilice este método para la implementación automatizada del conector de datos MailRisk utilizando una plantilla de ARM.
Haga clic en el botón Implementar en Azure que aparece a continuación.
Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.
Escriba el Id. del área de trabajo, la Clave del área de trabajo, la Clave de API de práctica segura, el Secreto de API de práctica segura
Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.
Haga clic en Comprar para iniciar la implementación.
Implementación manual
En el repositorio de código abierto de GitHub encontrará instrucciones para implementar manualmente el conector de datos.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.