Partilhar via


Conector Proofpoint TAP (usando o Azure Functions) para Microsoft Sentinel

O conector Proofpoint Targeted Attack Protection (TAP) fornece a capacidade de ingerir logs e eventos Proofpoint TAP no Microsoft Sentinel. O conector fornece visibilidade sobre eventos Message e Click no Microsoft Sentinel para exibir painéis, criar alertas personalizados e melhorar os recursos de monitoramento e investigação.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Corporação Microsoft

Exemplos de consulta

Eventos de clique em malware permitidos

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

Eventos de clique de phishing bloqueados

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

Eventos de mensagens de malware entregues

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

Eventos de mensagens de phishing bloqueados

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

Pré-requisitos

Para integrar com o Proofpoint TAP (usando o Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar ao Proofpoint TAP para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

PASSO 1 - Passos de configuração para a API TAP Proofpoint

  1. Inicie sessão na consola Proofpoint TAP
  2. Navegue até Conectar aplicativos e selecione Entidade de serviço
  3. Criar uma entidade de serviço (chave de autorização da API)

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector Proofpoint TAP, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas do seguinte), bem como a(s) chave(s) de autorização da API TAP do Proofpoint, prontamente disponíveis.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.