Connector „MailRisk by Secure Practice“ (über Azure Functions) für Microsoft Sentinel

  • Artikel

Datenconnector zum Pushen von E-Mails aus MailRisk in Microsoft Sentinel Log Analytics.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen MailRiskEmails_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Sichere Vorgehensweise

Abfragebeispiele

Alle E-Mails

MailRiskEmails_CL

| sort by TimeGenerated desc

E-Mails mit SPF-Pass

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

E-Mails mit einer bestimmten Kategorie

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

E-Mails mit Link-URLs, die die Zeichenfolge "microsoft" enthalten

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Voraussetzungen

Stellen Sie für die Integration in MailRisk by Secure Practice (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • API-Anmeldeinformationen: Ihr Schlüsselpaar für die Sichere Praxis-API wird ebenfalls benötigt, das in den Einstellungen im Verwaltungsportal erstellt wird. Wenn Sie Ihr API-Geheimnis verloren haben, können Sie ein neues Schlüsselpaar generieren (WARNUNG: Alle anderen Integrationen, die das alte Schlüsselpaar verwenden, funktionieren nicht mehr).

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit der Secure Practice-API her, um die zugehörigen Protokolle in Microsoft Sentinel zu übertragen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Bitte halten Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel bereit (können aus dem Folgenden kopiert werden).

Azure Resource Manager (ARM)-Vorlage

Verwenden Sie diese Methode für die automatisierte Bereitstellung des MailRisk-Datenconnectors mithilfe einer ARM-Vorlage.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Schlüssel für sichere Praxis und das API-Geheimnis für sichere Praxis ein.

  4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  5. Klicken Sie zum Bereitstellen auf Kaufen.

Manuelle Bereitstellung

Im Open-Source-Repository auf GitHub finden Sie Anweisungen zum manuellen Bereitstellen des Datenconnectors.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.