Connecteur Proofpoint TAP (avec Azure Functions) pour Microsoft Sentinel
Le connecteur Proofpoint Targeted Attack Protection (TAP) offre la capacité d’ingérer les journaux et événements Proofpoint TAP dans Microsoft Sentinel. Le connecteur fournit une visibilité sur les événements de message et de clic dans Microsoft Sentinel pour consulter des tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Événements de clic de programmes malveillants autorisés
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Événements de clic d’hameçonnage bloqués
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Événements de message de programmes malveillants émis
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Événements de message d’hameçonnage bloqués
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Prérequis
Pour intégrer Proofpoint TAP (avec d'Azure Functions), assurez-vous d'avoir :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Clé API Proofpoint TAP : Un nom d’utilisateur et un mot de passe pour l’API Proofpoint TAP sont requis. Consultez la documentation pour en savoir plus sur l’API Proofpoint SIEM.
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à Proofpoint TAP et extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion de données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 - Étapes de configuration pour l’API Proofpoint TAP
- Connectez-vous à la console Proofpoint TAP
- Accédez à Connect Applications et sélectionnez Service Principal.
- Créez un principal de service (clé d’autorisation d’API)
ÉTAPE 2 - Choisir UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : Avant de déployer le connecteur Proofpoint TAP, ayez à disposition l’ID et la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que la ou les clés d’autorisation d’API de Proofpoint TAP.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.