Microsoft Sentinel için Proofpoint TAP (Azure İşlevleri kullanarak) bağlayıcısı

Proofpoint Hedefli Saldırı Koruması (TAP) bağlayıcısı, Proofpoint TAP günlüklerini ve olaylarını Microsoft Sentinel'e alma özelliği sağlar. Bağlayıcı, panoları görüntülemek, özel uyarılar oluşturmak ve izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel'de İleti ve Tıklama olaylarına görünürlük sağlar.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

Kötü amaçlı yazılım tıklaması etkinliklerine izin verilir

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

Kimlik avı tıklama olayları engellendi

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

Teslim edilen kötü amaçlı yazılım iletileri olayları

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

Kimlik avı iletisi olayları engellendi

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

Önkoşullar

Proofpoint TAP ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Proofpoint TAP API Anahtarı: Proofpoint TAP API kullanıcı adı ve parolası gereklidir. Proofpoint SIEM API hakkında daha fazla bilgi edinmek için belgelere bakın.

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere Proofpoint TAP'a bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - Proofpoint TAP API'sinin yapılandırma adımları

  1. Proofpoint TAP konsolunda oturum açın
  2. Bağlan Uygulamaları'na gidin ve Hizmet Sorumlusu'na tıklayın
  3. Hizmet Sorumlusu Oluşturma (API Yetkilendirme Anahtarı)

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Proofpoint TAP bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Proofpoint TAP API Yetkilendirme Anahtarları'na sahip olun.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.