Partager via


Connecteur MailRisk by Secure Practice (à l’aide de Azure Functions) pour Microsoft Sentinel

Connecteur de données pour envoyer des e-mails de MailRisk vers Microsoft Sentinel Log Analytics.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics MailRiskEmails_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Pratique sécurisée

Exemples de requête

Tous les e-mails

MailRiskEmails_CL

| sort by TimeGenerated desc

E-mails avec passage SPF

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

E-mails avec une catégorie spécifique

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

E-mails avec des URL de lien qui contiennent la chaîne « microsoft »

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Prérequis

Pour intégrer MailRisk par Secure Practice (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
  • Informations d’identification d’API : votre paire de clés d’API Pratique sécurisée est également nécessaire, qui sont créées dans les paramètres du portail d’administration. Si vous avez perdu votre secret d’API, vous pouvez générer une nouvelle paire de clés (AVERTISSEMENT : toutes les autres intégrations à l’aide de l’ancienne paire de clés cesseront de fonctionner).

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à l’API Secure Practice et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

L'ID de l'espace de travail et la clé primaire de l'espace de travail (qui peut être copiée à partir de ce qui suit) doivent être facilement accessibles.

Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données MailRisk à l'aide d'un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez les valeurs de votre choix pour Abonnement, Groupe de ressources et Emplacement.

  3. Entrez l’ID de l’espace de travail, la clé d’espace de travail, la clé d’API Secure Practice, le secret de l’API Secure Practice

  4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  5. Cliquez sur Acheter pour déployer.

Déploiement manuel

Dans le dépôt open source sur GitHub, vous trouverez des instructions pour déployer manuellement le connecteur de données.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.