Microsoft Sentinel için MailRisk by Secure Practice (Azure İşlevleri kullanarak) bağlayıcısı
MailRisk'ten Microsoft Sentinel Log Analytics'e e-posta göndermek için veri bağlayıcısı.
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | MailRiskEmails_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen | Güvenli Uygulama |
Sorgu örnekleri
Tüm e-postalar
MailRiskEmails_CL
| sort by TimeGenerated desc
SPF geçişi olan e-postalar
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
Belirli bir kategoriye sahip e-postalar
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
"microsoft" dizesini içeren bağlantı URL'leri içeren e-postalar
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
Önkoşullar
MailRisk by Secure Practice ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- API kimlik bilgileri: Yönetici portalındaki ayarlarda oluşturulan Secure Practice API anahtar çiftiniz de gereklidir. API gizli dizinizi kaybettiyseniz yeni bir anahtar çifti oluşturabilirsiniz (UYARI: Eski anahtar çiftini kullanan diğer tümleştirmeler çalışmayı durdurur).
Satıcı yükleme yönergeleri
Not
Bu bağlayıcı, günlükleri Microsoft Sentinel'e göndermek üzere Güvenli Uygulama API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.
Lütfen bunları Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı(aşağıdakilerden kopyalanabilir) hazır olarak sağlayın.
Azure Resource Manager (ARM) Şablonu
Arm Şablonu kullanarak MailRisk veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.
Aşağıdaki Azure'a Dağıt düğmesine tıklayın.
Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.
Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, Güvenli Uygulama API Anahtarı, Güvenli Uygulama API'si Gizli Anahtarı girin
Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
Dağıtmak için Satın Al'a tıklayın.
El ile dağıtım
GitHub'daki açık kaynak deposunda veri bağlayıcısını el ile dağıtma yönergelerini bulabilirsiniz.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.