Łącznik Proofpoint TAP (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik Proofpoint Targeted Attack Protection (TAP) zapewnia możliwość pozyskiwania dzienników i zdarzeń tap programu Proofpoint do usługi Microsoft Sentinel. Łącznik zapewnia wgląd w zdarzenia komunikatów i kliknięć w usłudze Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych oraz ulepszania możliwości monitorowania i badania.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Dozwolone zdarzenia kliknięcia złośliwego oprogramowania
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Zablokowane zdarzenia kliknięcia wyłudzania informacji
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Dostarczane zdarzenia komunikatów o złośliwym oprogramowaniu
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Zablokowane zdarzenia wiadomości wyłudzających informacje
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Wymagania wstępne
Aby zintegrować aplikację Proofpoint TAP (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Proofpoint TAP API Key: wymagana jest nazwa użytkownika interfejsu API i hasło interfejsu API interfejsu TAP programu Proofpoint. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API rozwiązania Proofpoint SIEM.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem TAP programu Proofpoint w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
KROK 1. Kroki konfiguracji interfejsu API tap programu Proofpoint
- Zaloguj się do konsoli proofpoint TAP
- Przejdź do pozycji aplikacje Połączenie i wybierz pozycję Jednostka usługi
- Tworzenie jednostki usługi (klucza autoryzacji interfejsu API)
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika Proofpoint TAP należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API tap programu Proofpoint.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.