Proofpoint TAP (uso del connettore Funzioni di Azure) per Microsoft Sentinel

Il connettore Proofpoint Targeted Attack Protection (TAP) offre la possibilità di inserire i log e gli eventi TAP di Proofpoint in Microsoft Sentinel. Il connettore offre visibilità sugli eventi Message e Click in Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare le funzionalità di monitoraggio e analisi.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

Eventi click malware consentiti

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

Eventi click di phishing bloccati

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

Eventi di messaggi malware recapitati

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

Eventi di messaggio di phishing bloccati

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

Prerequisiti

Per eseguire l'integrazione con Proofpoint TAP (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Proofpoint TAP API Key(Chiave API TAP Proofpoint): è necessario un nome utente e una password dell'API TAP proofpoint. Per altre informazioni sull'API SIEM di Proofpoint, vedere la documentazione.

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi a Proofpoint TAP per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API TAP proofpoint

  1. Accedere alla console Tap di Proofpoint
  2. Passare a Connessione applicazioni e selezionare Entità servizio
  3. Creare un'entità servizio (chiave di autorizzazione API)

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore Proofpoint TAP, disporre dell'ID dell'area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue), nonché delle chiavi di autorizzazione DELL'API Tap proofpoint, immediatamente disponibili.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.