Microsoft Sentinel용 Proofpoint TAP(Azure Functions 사용) 커넥터

  • 아티클

Proofpoint TAP(Targeted Attack Protection) 커넥터는 Proofpoint TAP 로그 및 이벤트를 Microsoft Sentinel로 수집하는 기능을 제공합니다. 이 커넥터는 Microsoft Sentinel의 메시지 및 클릭 이벤트에 대한 표시 여부를 제공하여 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링 및 조사 기능을 개선시킵니다.

자동 생성된 콘텐츠입니다. 변경하려면 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Microsoft Corporation

쿼리 샘플

맬웨어 클릭 이벤트 허용

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

피싱 클릭 이벤트가 차단됨

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

맬웨어 메시지 이벤트가 배달됨

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

피싱 메시지 이벤트가 차단됨

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

필수 조건

Proofpoint TAP(Azure Functions 사용)와 통합하려면 다음 사항을 확인합니다.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 Proofpoint TAP에 연결하여 해당 로그를 Microsoft Sentinel로 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - Proofpoint TAP API 구성 단계

  1. Proofpoint TAP 콘솔에 로그인합니다.
  2. 애플리케이션 연결로 이동하고 서비스 주체를 선택합니다.
  3. 서비스 주체(API 권한 부여 키)를 만듭니다.

2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure Function 배포

중요: Proofpoint TAP 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론 Proofpoint TAP API 권한 부여 키도 즉시 사용할 수 있도록 준비합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.