Megosztás a következőn keresztül:

Proofpoint TAP (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Proofpoint Targeted Attack Protection (TAP) összekötő lehetővé teszi a Proofpoint TAP-naplók és események Microsoft Sentinelbe való betöltését. Az összekötő betekintést nyújt a Microsoft Sentinel üzenet- és kattintáseseményeibe az irányítópultok megtekintéséhez, egyéni riasztások létrehozásához, valamint a figyelési és vizsgálati képességek javításához.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Engedélyezett kártevő-kattintási események

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

Adathalászati kattintási események blokkolva

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

Kártevőüzenetek kézbesített eseményei

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

Adathalászati üzenetesemények blokkolva

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

Előfeltételek

A Proofpoint TAP-val való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Proofpoint TAP API-kulcs: A Proofpoint TAP API felhasználóneve és jelszava szükséges. A Proofpoint SIEM API-val kapcsolatos további információkért tekintse meg a dokumentációt.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Proofpoint TAP-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A Proofpoint TAP API konfigurációs lépései

  1. Bejelentkezés a Proofpoint TAP konzolra
  2. Navigáljon Csatlakozás alkalmazásokhoz, és válassza a Szolgáltatásnév lehetőséget
  3. Szolgáltatásnév létrehozása (API engedélyezési kulcs)

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A Proofpoint TAP-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (amely a következőkből másolható), valamint a Proofpoint TAP API engedélyezési kulcs(ok) könnyen elérhető.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.