Udostępnij za pośrednictwem


Łącznik Proofpoint TAP (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik Proofpoint Targeted Attack Protection (TAP) zapewnia możliwość pozyskiwania dzienników i zdarzeń tap programu Proofpoint do usługi Microsoft Sentinel. Łącznik zapewnia wgląd w zdarzenia komunikatów i kliknięć w usłudze Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych oraz ulepszania możliwości monitorowania i badania.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Dozwolone zdarzenia kliknięcia złośliwego oprogramowania

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

Zablokowane zdarzenia kliknięcia wyłudzania informacji

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

Dostarczane zdarzenia komunikatów o złośliwym oprogramowaniu

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

Zablokowane zdarzenia wiadomości wyłudzających informacje

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

Wymagania wstępne

Aby zintegrować aplikację Proofpoint TAP (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem TAP programu Proofpoint w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki konfiguracji interfejsu API tap programu Proofpoint

  1. Zaloguj się do konsoli proofpoint TAP
  2. Przejdź do pozycji aplikacje Połączenie i wybierz pozycję Jednostka usługi
  3. Tworzenie jednostki usługi (klucza autoryzacji interfejsu API)

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika Proofpoint TAP należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API tap programu Proofpoint.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.