Microsoft Sentinel için Proofpoint TAP (Azure İşlevleri kullanarak) bağlayıcısı
Proofpoint Hedefli Saldırı Koruması (TAP) bağlayıcısı, Proofpoint TAP günlüklerini ve olaylarını Microsoft Sentinel'e alma özelliği sağlar. Bağlayıcı, panoları görüntülemek, özel uyarılar oluşturmak ve izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel'de İleti ve Tıklama olaylarına görünürlük sağlar.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Tanım |
|---|---|
| Log Analytics tabloları | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
Kötü amaçlı yazılım tıklaması etkinliklerine izin verilir
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Kimlik avı tıklama olayları engellendi
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Teslim edilen kötü amaçlı yazılım iletileri olayları
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Kimlik avı iletisi olayları engellendi
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Ön koşullar
Proofpoint TAP ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- Proofpoint TAP API Anahtarı: Proofpoint TAP API kullanıcı adı ve parolası gereklidir. Proofpoint SIEM API hakkında daha fazla bilgi edinmek için belgelere bakın.
Satıcı yükleme yönergeleri
Dekont
Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere Proofpoint TAP'a bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.
(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.
ADIM 1 - Proofpoint TAP API'sinin yapılandırma adımları
- Proofpoint TAP konsolunda oturum açın
- Bağlan Uygulamaları'na gidin ve Hizmet Sorumlusu'na tıklayın
- Hizmet Sorumlusu Oluşturma (API Yetkilendirme Anahtarı)
ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin
ÖNEMLİ: Proofpoint TAP bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Proofpoint TAP API Yetkilendirme Anahtarları'na sahip olun.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.