موصل MailRisk by Secure Practice (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

موصل البيانات لدفع رسائل البريد الإلكتروني من MailRisk إلى Microsoft Sentinel Log Analytics.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics MailRiskEmails_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل التدريب الآمن

عينات الاستعلام

جميع رسائل البريد الإلكتروني

MailRiskEmails_CL

| sort by TimeGenerated desc

رسائل البريد الإلكتروني مع تمرير SPF

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

رسائل البريد الإلكتروني ذات فئة محددة

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

رسائل البريد الإلكتروني التي تحتوي على عناوين URL للارتباط التي تحتوي على السلسلة "microsoft"

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

المتطلبات الأساسية

للتكامل مع MailRisk by Secure Practice (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد واجهة برمجة التطبيقات: مطلوب أيضا زوج مفاتيح API للممارسة الآمنة، والتي يتم إنشاؤها في الإعدادات في مدخل المسؤول. إذا فقدت سر واجهة برمجة التطبيقات، يمكنك إنشاء زوج مفاتيح جديد (تحذير: ستتوقف أي عمليات تكامل أخرى تستخدم زوج المفاتيح القديم عن العمل).

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل وظائف Azure للاتصال بواجهة برمجة تطبيقات التدريب الآمن لدفع السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

الرجاء توفير معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي)، بسهولة.

قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات MailRisk باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل، ومفتاح مساحة العمل، ومفتاح API للممارسة الآمنة، وسرية واجهة برمجة التطبيقات للممارسة الآمنة

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

النشر بشكل يدوي

في مستودع مصدر مفتوح على GitHub، يمكنك العثور على إرشادات حول كيفية نشر موصل البيانات يدويا.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.