Microsoft Sentinel için Güvenli Uygulamaya Göre MailRisk (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

MailRisk'ten Microsoft Sentinel Log Analytics'e e-posta göndermek için veri bağlayıcısı.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları MailRiskEmails_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Güvenli Uygulama

Sorgu örnekleri

Tüm e-postalar

MailRiskEmails_CL

| sort by TimeGenerated desc

SPF geçişi olan e-postalar

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

Belirli bir kategoriye sahip e-postalar

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

"microsoft" dizesini içeren bağlantı URL'leri içeren e-postalar

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Önkoşullar

MailRisk by Secure Practice ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • API kimlik bilgileri: Yönetici portalındaki ayarlarda oluşturulan Güvenli Uygulama API anahtar çiftiniz de gereklidir. API gizli dizinizi kaybettiyseniz yeni bir anahtar çifti oluşturabilirsiniz (UYARI: Eski anahtar çiftini kullanan diğer tümleştirmeler çalışmayı durdurur).

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, günlükleri Microsoft Sentinel'e göndermek üzere Güvenli Uygulama API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

Lütfen bunları Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı (aşağıdakilerden kopyalanabilir) kullanıma hazır olarak sağlayın.

Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak MailRisk veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, Güvenli Uygulama API Anahtarı, Güvenli Uygulama API'si Gizli Anahtarı girin

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

El ile dağıtım

GitHub'daki açık kaynak deposunda veri bağlayıcısını el ile dağıtma yönergelerini bulabilirsiniz.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.