Connecteur Proofpoint On Demand Email Security (avec Azure Functions) pour Microsoft Sentinel
Le connecteur de données Proofpoint On Demand Email Security permet d’obtenir des données Proofpoint on Demand Email Protection, laisse les utilisateurs vérifier la traçabilité des messages, en surveillant l’activité du courrier électronique, les menaces et l’exfiltration de données par des attaquants et des personnes internes malveillantes. Le connecteur permet d’examiner les événements de votre organisation de manière accélérée et d’obtenir les fichiers journaux des événements par incréments horaires pour l’activité récente.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Code d’application de fonction Azure | https://aka.ms/sentinel-proofpointpod-functionapp |
| Alias de fonction Kusto | ProofpointPOD |
| URL de fonction Kusto | https://aka.ms/sentinel-proofpointpod-parser |
| Table(s) Log Analytics | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Derniers événements de message ProofpointPOD
ProofpointPOD
| where EventType == 'message'
| sort by TimeGenerated desc
Derniers événements de maillog ProofpointPOD
ProofpointPOD
| where EventType == 'maillog'
| sort by TimeGenerated desc
Prérequis
Pour intégrer Proofpoint On Demand Email Security (avec Azure Functions), assurez-vous de disposer des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de l’API Websocket : ProofpointClusterID, ProofpointToken sont requis. Consultez la documentation pour en savoir plus sur l’API.
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à l’API Proofpoint Websocket et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Suivez ces étapes pour créer l’alias de fonction Kusto, ProofpointPOD.
ÉTAPE 1 - Étapes de configuration pour l’API Proofpoint Websocket
- Le service d’API Proofpoint Websocket nécessite une licence de transfert Syslog à distance. Reportez-vous à la documentation sur l’activation et la vérification de l’API PoD Log.
- Vous devez fournir votre ID de cluster et votre jeton de sécurité.
ÉTAPE 2 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : avant le déploiement du connecteur de données Proofpoint On Demand Email Security, récupérez l’ID d’espace de travail et la clé principale de l’espace de travail (peuvent être copiés à partir des éléments suivants), ainsi que les informations d’identification de l’API Proofpoint POD Log, facilement disponibles.
Option 1 : modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour le déploiement automatisé du connecteur de données Proofpoint On Demand Email Security à l’aide d’un modèle ARM.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Entrez l’ID de l’espace de travail, laclé d’espace, leProofpointClusterID, le ProofpointToken et déployez.
Cochez la case J’accepte les conditions générales mentionnées ci-dessus.
Cliquez sur Acheter pour déployer.
Option 2 : déploiement manuel d’Azure Functions
Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données Proofpoint On Demand Email Security avec Azure Functions (déploiement via Visual Studio Code).
1. Déployer une application de fonction
REMARQUE : Vous devrez préparer le code VS pour le développement d’une fonction Azure.
Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.
Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.
Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.
Quand vous y êtes invité, indiquez les informations suivantes :
a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.
b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.
c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).
d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple, ProofpointXXXXX).
e. Sélectionnez un runtime : choisissez Python 3.8.
f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.
Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.
Accédez au Portail Azure pour la configuration de l’application de fonction.
2. Configurer l’application de fonction
- Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
- Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
- Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) : ProofpointClusterID ProofpointToken WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)
- Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant :
https://<CustomerId>.ods.opinsights.azure.us.
- Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.