다음을 통해 공유


Microsoft Sentinel용 MailRisk by Secure Practice(Azure Functions 사용) 커넥터

이 커넥터는 MailRisk에서 Microsoft Sentinel Log Analytics로 메일을 푸시합니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 MailRiskEmails_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Secure Practice

쿼리 샘플

모든 메일

MailRiskEmails_CL

| sort by TimeGenerated desc

SPF 패스가 있는 메일

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

특정 범주가 있는 메일

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

“microsoft” 문자열이 포함된 링크 URL이 있는 메일

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

필수 조건

MailRisk by Secure Practice(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.

  • Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
  • API 자격 증명: 관리 포털의 설정에서 만들어지는 Secure Practice API 키 쌍도 필요합니다. API 비밀을 분실한 경우 키 쌍을 새로 생성할 수 있습니다(경고: 이전 키 쌍을 사용하는 다른 모든 통합의 작동이 중지됨).

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 Secure Practice API에 연결하여 해당 로그를 Microsoft Sentinel로 푸시합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

작업 영역 ID 및 작업 영역 기본 키(다음에서 복사 가능)를 쉽게 사용할 수 있도록 하세요.

ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 MailRisk 데이터 커넥터를 자동으로 배포하려면 이 메서드를 사용합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 선호하는 구독, 리소스 그룹위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, Secure Practice API 키, Secure Practice API 비밀을 입력합니다.

  4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.

  5. 구매를 클릭하여 배포합니다.

수동 배포

GitHub의 오픈 소스 리포지토리에서 데이터 커넥터를 수동으로 배포하는 방법에 대한 지침을 찾을 수 있습니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.