你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Proofpoint TAP(使用 Azure Functions)连接器
Proofpoint Targeted Attack Protection (TAP) 连接器提供将 Proofpoint TAP 日志和事件引入 Microsoft Sentinel 的功能。 该连接器支持在 Microsoft Sentinel 中查看消息事件和单击事件,以便查看仪表板、创建自定义警报以及改进监视和调查功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
已允许恶意软件单击事件
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
已阻止网络钓鱼单击事件
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
已发送恶意软件消息事件
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
已阻止网络钓鱼消息事件
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
先决条件
若要与 Proofpoint TAP 集成(使用 Azure Functions),请确保拥有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Proofpoint TAP API 密钥:需要 Proofpoint TAP API 用户名和密码。 请参阅文档以详细了解 Proofpoint SIEM API。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Proofpoint TAP,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - Proofpoint TAP API 的配置步骤
- 登录到 Proofpoint TAP 控制台
- 导航到“连接应用程序”,然后选择“服务主体”
- 创建服务主体(API 授权密钥)
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要说明:部署 Proofpoint TAP 连接器前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Proofpoint TAP API 授权密钥。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。