Proofpoint TAP-Connector (über Azure Functions) für Microsoft Sentinel
Der Proofpoint Targeted Attack Protection(TAP)-Connector bietet die Möglichkeit, Proofpoint TAP-Protokolle und -Ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in Nachrichten- und Klickereignisse in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Überwachungs- und Untersuchungsfunktionen zu verbessern.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Zugelassene Schadsoftware-Klickereignisse
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Blockierte Phishing-Klickereignisse
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Übermittelte Schadsoftware-Nachrichtenereignisse
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Blockierte Phishing-Nachrichtenereignisse
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Voraussetzungen
Stellen Sie für die Integration in Proofpoint TAP (über Azure Functions) sicher, dass Folgendes vorhanden ist:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Proofpoint TAP-API-Schlüssel: Der Benutzername und das Kennwort der Proofpoint TAP-API sind erforderlich. Weitere Informationen zur Proofpoint-SIEM-API finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector verbindet sich über Azure Functions mit Proofpoint TAP, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1: Konfigurationsschritte für die Proofpoint TAP-API
- Melden Sie sich bei der Proofpoint TAP-Konsole an.
- Navigieren Sie zu Anwendungen verbinden, und wählen Sie Dienstprinzipal aus.
- Erstellen eines Dienstprinzipals (API-Autorisierungsschlüssel)
SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen
WICHTIG: Für die Bereitstellung des Proofpoint TAP-Connectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie die Autorisierungsschlüssel der Proofpoint TAP-API bereithalten.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.