Conector Proofpoint TAP (usando o Azure Functions) para Microsoft Sentinel
O conector Proofpoint Targeted Attack Protection (TAP) fornece a capacidade de ingerir logs e eventos Proofpoint TAP no Microsoft Sentinel. O conector fornece visibilidade sobre eventos Message e Click no Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Eventos de clique em malware permitidos
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Eventos de clique de phishing bloqueados
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Eventos de mensagens de malware entregues
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Eventos de mensagens de phishing bloqueados
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Pré-requisitos
Para integrar com o Proofpoint TAP (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Chave da API TAP do Proofpoint: É necessário um nome de utilizador e palavra-passe da API TAP do Proofpoint. Consulte a documentação para saber mais sobre a API SIEM do Proofpoint.
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar ao Proofpoint TAP para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
PASSO 1 - Passos de configuração para a API TAP Proofpoint
- Inicie sessão na consola Proofpoint TAP
- Navegue até Conectar aplicativos e selecione Entidade de serviço
- Criar uma entidade de serviço (chave de autorização da API)
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector Proofpoint TAP, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas do seguinte), bem como a(s) chave(s) de autorização da API TAP do Proofpoint, prontamente disponíveis.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.