Partager via


Connecteur Proofpoint TAP (avec Azure Functions) pour Microsoft Sentinel

Le connecteur Proofpoint Targeted Attack Protection (TAP) offre la capacité d’ingérer les journaux et événements Proofpoint TAP dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les événements de message et de clic dans Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

Événements de clic de programmes malveillants autorisés

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

Événements de clic d’hameçonnage bloqués

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

Événements de message de programmes malveillants émis

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

Événements de message d’hameçonnage bloqués

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

Prérequis

Pour intégrer Proofpoint TAP (avec d'Azure Functions), assurez-vous d'avoir :

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à Proofpoint TAP et extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion de données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 - Étapes de configuration pour l’API Proofpoint TAP

  1. Connectez-vous à la console Proofpoint TAP
  2. Accédez à Connect Applications et sélectionnez Service Principal.
  3. Créez un principal de service (clé d’autorisation d’API)

ÉTAPE 2 - Choisir UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : Avant de déployer le connecteur Proofpoint TAP, ayez à disposition l’ID et la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que la ou les clés d’autorisation d’API de Proofpoint TAP.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.