Поделиться через


Соединитель Proofpoint TAP (с помощью Функции Azure) для Microsoft Sentinel

Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий Message и Click в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Разрешенные события щелчка вредоносных программ

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

Фишинговые события щелчка заблокированы

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

События вредоносных программ, доставленные

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

События фишинга сообщений заблокированы

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

Необходимые компоненты

Чтобы интегрироваться с Proofpoint TAP (с помощью Функции Azure), убедитесь, что у вас есть:

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к Proofpoint TAP для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке API Proofpoint TAP

  1. Войдите в консоль Proofpoint TAP
  2. Перейдите к Подключение приложениям и выберите субъект-службу
  3. Создание субъекта-службы (ключ авторизации API)

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Прежде чем развертывать соединитель Proofpoint TAP, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API proofpoint TAP, которые легко доступны.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.