Conector MailRisk by Secure Practice (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

Conector de dados para enviar e-mails do MailRisk para o Microsoft Sentinel Log Analytics.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics MailRiskEmails_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Prática segura

Exemplos de consulta

Todos os e-mails

MailRiskEmails_CL

| sort by TimeGenerated desc

E-mails com SPF pass

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

E-mails com categoria específica

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

E-mails com urls de link que contêm a string "microsoft"

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Pré-requisitos

Para integrar com o MailRisk by Secure Practice (usando o Azure Functions), certifique-se de ter:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais da API: seu par de chaves da API de Prática Segura também é necessário, que são criadas nas configurações do portal de administração. Se você perdeu o segredo da API, pode gerar um novo par de chaves (AVISO: Qualquer outra integração usando o par de chaves antigo deixará de funcionar).

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar à API de Prática Segura para enviar logs por push para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

Tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas do seguinte), prontamente disponíveis.

Modelo do Azure Resource Manager (ARM)

Use esse método para implantação automatizada do conector de dados MailRisk usando um modelo ARM.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira o ID do espaço de trabalho, a chave do espaço de trabalho, a chave da API de prática segura, o segredo da API de prática segura

  4. Marque a caixa de seleção Concordo com os termos e condições mencionados acima.

  5. Clique em Comprar para implantar.

Implementação manual

No repositório de código aberto no GitHub , você pode encontrar instruções sobre como implantar manualmente o conector de dados.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.