Microsoft Sentinel 用 MailRisk by Secure Practice (Azure Functions を使用) コネクタ
MailRisk から Microsoft Sentinel Log Analytics にメールをプッシュするためのデータ コネクタ。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | MailRiskEmails_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Secure Practice |
クエリのサンプル
すべてのメール
MailRiskEmails_CL
| sort by TimeGenerated desc
SPF パスを含むメール
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
特定のカテゴリのあるメール
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
文字列 "microsoft" を含むリンク URL を含むメール
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
前提条件
MailRisk by Secure Practice (Azure Functions を使用) と統合するには、次のものがあることを確認します:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- API 資格情報: Secure Practice API キーペアも必要です。これは、管理ポータルの設定で作成されます。 API シークレットを失った場合は、新しいキー ペアを生成できます (警告: 古いキー ペアを使用する他の統合は機能しなくなります)。
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使用して Secure Practice API に接続し、ログを Microsoft Sentinel にプッシュします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
ワークスペース ID とワークスペース主キー (以下からコピーできます) をすぐに使えるようにしておいてください。
Azure Resource Manager (ARM) テンプレート
ARM テンプレートを使って MailRisk データ コネクタを自動的にデプロイするには、この方法を使います。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選びます。
[ワークスペース ID]、[ワークスペース キー]、[Secure Practice API キー]、[Secure Practice API シークレット] を入力します
[上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
手動デプロイ
GitHub のオープンソース リポジトリで、データ コネクタを手動でデプロイする方法を確認できます。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。