Соединитель MailRisk by Secure Practice (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных для отправки сообщений электронной почты из MailRisk в Microsoft Sentinel Log Analytics.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | MailRiskEmails_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Безопасная практика |
Примеры запросов
Все сообщения электронной почты
MailRiskEmails_CL
| sort by TimeGenerated desc
Сообщения электронной почты с передачей SPF
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
Сообщения электронной почты с определенной категорией
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
Сообщения электронной почты с URL-адресами ссылки, содержащим строку "microsoft"
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
Необходимые компоненты
Чтобы интегрироваться с MailRisk by Secure Practice (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные API. Также требуется пара ключей API Secure Practice, которая создается в параметрах на портале администрирования. Если вы потеряли секрет API, можно создать новую пару ключей (ПРЕДУПРЕЖДЕНИЕ: любые другие интеграции с помощью старой пары ключей перестают работать).
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API Secure Practice для отправки журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
Укажите эти идентификаторы рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных MailRisk с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, ключ API Secure Practice, секрет API Secure Practice
Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".
Нажмите кнопку " Купить" , чтобы развернуть.
Ручное развертывание
В репозитории открытый код на GitHub можно найти инструкции по развертыванию соединителя данных вручную.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по