MailRisk by Secure Practice (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

Adatösszekötő a MailRiskből a Microsoft Sentinel Log Analyticsbe küldött e-mailek leküldéséhez.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) MailRiskEmails_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Biztonságos gyakorlat

Példák lekérdezésekre

Minden e-mail

MailRiskEmails_CL

| sort by TimeGenerated desc

SPF-bérlettel rendelkező e-mailek

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

E-mailek adott kategóriával

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

A "microsoft" sztringet tartalmazó hivatkozási URL-címmel rendelkező e-mailek

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Előfeltételek

A MailRisk és a Secure Practice (az Azure Functions használatával) integrálásához győződjön meg arról, hogy a következőkkel rendelkezik:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • API-hitelesítő adatok: A Secure Practice API-kulcspárra is szükség van, amelyek a felügyeleti portál beállításaiban jönnek létre. Ha elvesztette az API-titkos kódját, létrehozhat egy új kulcspárt (FIGYELMEZTETÉS: A régi kulcspárt használó egyéb integrációk leállnak).

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Secure Practice API-hoz a naplók Microsoft Sentinelbe való leküldéséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

Ezeket a munkaterület-azonosítót és a munkaterület elsődleges kulcsát (az alábbiakból másolható) könnyen elérhetővé kell tenni.

Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető a MailRisk-adatösszekötő ARM-sablonnal.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a munkaterület azonosítóját, a munkaterületkulcsot, a biztonságos eljárás API-kulcsát, a biztonságos eljárás API titkos kódját

  4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  5. Kattintson a Vásárlás gombra az üzembe helyezéshez.

Manuális üzembe helyezés

A GitHub nyílt forráskód adattárában útmutatást talál az adatösszekötő manuális üzembe helyezéséhez.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.