Connettore Proofpoint On Demand Email Security (con Funzioni di Azure) per Microsoft Sentinel
Proofpoint On Demand Email Security Data Connector offre la possibilità di ottenere i dati di Proofpoint on Demand Email Protection, consente agli utenti di controllare la tracciabilità dei messaggi, il monitoraggio dell'attività di posta elettronica, le minacce e l'esfiltrazione dei dati da parte di utenti malintenzionati e utenti malintenzionati. Il connettore consente di esaminare gli eventi nell'organizzazione in modo accelerato, ottenere i file di log eventi in incrementi orari per le attività recenti.
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Codice dell'app per le funzioni di Azure | https://aka.ms/sentinel-proofpointpod-functionapp |
| Alias della funzione Kusto | ProofpointPOD |
| URL della funzione Kusto | https://aka.ms/sentinel-proofpointpod-parser |
| Tabelle di Log Analytics | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| Supporto delle regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Last ProofpointPOD message Events
ProofpointPOD
| where EventType == 'message'
| sort by TimeGenerated desc
Last ProofpointPOD maillog Events
ProofpointPOD
| where EventType == 'maillog'
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con Proofpoint On Demand Email Security (usando Funzioni di Azure) assicurarsi di avere:
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
- Credenziali/autorizzazioni dell'API Websocket: ProofpointClusterID, ProofpointToken è obbligatorio. Per altre informazioni sull'API, vedere la documentazione.
Istruzioni di installazione fornitore
Nota
Questo connettore usa Funzioni di Azure per connettersi all'API Websocket proofpoint per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questa procedura per creare l'alias delle funzioni Kusto, ProofpointPOD
PASSAGGIO 1 - Passaggi di configurazione per l'API Websocket proofpoint
- Il servizio API Websocket proofpoint richiede la licenza remote syslog forwarding. Vedere la documentazione su come abilitare e controllare l'API di log PoD.
- È necessario specificare l'ID cluster e il token di sicurezza.
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore dati Proofpoint On Demand Email Security, disporre dell'ID dell'area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dal codice seguente), nonché le credenziali dell'API di log pod proofpoint, immediatamente disponibili.
Opzione 1 - Modello di Azure Resource Manager (ARM)
Usare questo metodo per la distribuzione automatica del connettore dati Proofpoint On Demand Email Security usando un modello ARM.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.
Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, ProofpointClusterID, ProofpointToken e distribuire.
Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza.
Fare clic su Acquista per distribuire.
Opzione 2 - Distribuzione manuale di Funzioni di Azure
Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Proofpoint On Demand Email Security con Funzioni di Azure (distribuzione tramite Visual Studio Code).
1. Distribuire un'app per le funzioni
NOTA: sarà necessario preparare VS Code per lo sviluppo di funzioni di Azure.
Scaricare il file dell'app per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.
Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.
Selezionare la cartella di primo livello dai file estratti.
Scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure Se è già stato eseguito l'accesso, andare al passaggio successivo.
Quando richiesto, immettere le informazioni seguenti:
a. Selezionare la cartella: scegliere una cartella dall'area di lavoro o passare a una cartella che contiene l'app per le funzioni.
b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.
c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)
d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio ProofpointXXXXX).
e. Selezionare un runtime: scegliere Python 3.8.
f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.
Verrà avviata la distribuzione. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.
Passare al portale di Azure per la configurazione dell'app per le funzioni.
2. Configurare l'app per le funzioni
- Nell'app per le funzioni selezionare Nome app per le funzioni e selezionare Configurazione.
- Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
- Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): ProofpointClusterID ProofpointToken WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
- Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente:
https://<CustomerId>.ods.opinsights.azure.us.
- Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.