Microsoft Sentinel 用 Proofpoint TAP (Azure 関数を使用) コネクタ

Proofpoint Targeted Attack Protection (TAP) コネクタには、Proofpoint TAP ログとイベントを Microsoft Sentinel に取り込む機能があります。 このコネクタを使うと、Microsoft Sentinel でメッセージとクリック イベントを可視化して、ダッシュボードを表示し、カスタム アラートを作成し、監視と調査の機能を向上させることができます。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

許可されたマルウェアのクリック イベント

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

ブロックされたフィッシングのクリック イベント

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

配信されたマルウェアのメッセージ イベント

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

ブロックされたフィッシングのメッセージ イベント

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

前提条件

Proofpoint TAP (Azure 関数を使用) と統合する場合は、以下が必要です:

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使って Proofpoint TAP に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

手順 1 - Proofpoint TAP API の構成手順

  1. Proofpoint TAP コンソールにログインします
  2. [Connect Applications] (アプリケーションの接続) に移動し、[Service Principal] (サービス プリンシパル) を選びます
  3. サービス プリンシパル (API 認可キー) を作成します

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: Proofpoint TAP コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、Proofpoint TAP API の認可キーをすぐに使用できるようにしておいてください。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。