Conector MailRisk da Prática Segura (usando o Azure Functions) para o Microsoft Sentinel

  • Artigo

Conector de dados para enviar emails por push do MailRisk para o Log Analytics do Microsoft Sentinel.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics MailRiskEmails_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Prática Segura

Exemplos de consulta

Todos os emails

MailRiskEmails_CL

| sort by TimeGenerated desc

Emails com aprovação SPF

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

Emails com categoria específica

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

Emails com URLs de link que contêm a cadeia de caracteres "microsoft"

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Pré-requisitos

Para fazer a integração com o MailRisk da Prática Segura (usando o Azure Functions), verifique se você tem:

  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Credenciais da API: seu par de chaves da API do Secure Practice também é necessário, as quais são criadas nas configurações no portal de administração. Se você perdeu o segredo da API, poderá gerar um novo par de chaves (ATENÇÃO: todas as outras integrações que usam o par de chaves antigo deixarão de funcionar).

Instruções de instalação do fornecedor

Observação

Este conector usa o Azure Functions para se conectar à API de Prática Segura para enviar logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

Tenha em mãos a ID do espaço de trabalho e a chave primária do espaço de trabalho (que podem ser copiadas do seguinte).

Modelo do ARM (Azure Resource Manager)

Use este método para a implantação automatizada do conector de dados MailRisk usando um Modelo ARM.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.

  3. Digite a ID do espaço de trabalho, Chave do Espaço de Trabalho, Chave da API de Prática Segura, Secreto da API de Prática Segura

  4. Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.

  5. Clique em Comprar para implantar.

Implantação manual

No repositório de código aberto no GitHub, você pode encontrar instruções sobre como implantar manualmente o conector de dados.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.