Connecteur MailRisk by Secure Practice (à l’aide de Azure Functions) pour Microsoft Sentinel
Connecteur de données pour envoyer des e-mails de MailRisk vers Microsoft Sentinel Log Analytics.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | MailRiskEmails_CL |
Support des Règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Pratique sécurisée |
Exemples de requête
Tous les e-mails
MailRiskEmails_CL
| sort by TimeGenerated desc
E-mails avec passage SPF
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
E-mails avec une catégorie spécifique
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
E-mails avec des URL de lien qui contiennent la chaîne « microsoft »
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
Prérequis
Pour intégrer MailRisk par Secure Practice (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification d’API : votre paire de clés d’API Pratique sécurisée est également nécessaire, qui sont créées dans les paramètres du portail d’administration. Si vous avez perdu votre secret d’API, vous pouvez générer une nouvelle paire de clés (AVERTISSEMENT : toutes les autres intégrations à l’aide de l’ancienne paire de clés cesseront de fonctionner).
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à l’API Secure Practice et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
L'ID de l'espace de travail et la clé primaire de l'espace de travail (qui peut être copiée à partir de ce qui suit) doivent être facilement accessibles.
Modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour le déploiement automatisé du connecteur de données MailRisk à l'aide d'un modèle ARM.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez les valeurs de votre choix pour Abonnement, Groupe de ressources et Emplacement.
Entrez l’ID de l’espace de travail, la clé d’espace de travail, la clé d’API Secure Practice, le secret de l’API Secure Practice
Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
Cliquez sur Acheter pour déployer.
Déploiement manuel
Dans le dépôt open source sur GitHub, vous trouverez des instructions pour déployer manuellement le connecteur de données.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.