適用於 Microsoft Sentinel 的 Proofpoint TAP (使用 Azure Functions) 連接器
Proofpoint Targeted Attack Protection (TAP) 連接器提供將 Proofpoint TAP 記錄和事件內嵌至 Microsoft Sentinel 的功能。 連接器提供 Microsoft Sentinel 中訊息和 Click 事件的可見度,以檢視儀錶板、建立自定義警示,以及改善監視和調查功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
允許惡意代碼點擊事件
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
網路釣魚點選事件已封鎖
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
傳遞的惡意代碼訊息事件
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
網路釣魚訊息事件遭到封鎖
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
必要條件
若要與 Proofpoint TAP 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Proofpoint TAP API 金鑰:需要 Proofpoint TAP API 使用者名稱和密碼。 請參閱檔以深入瞭解 Proofpoint SIEM API。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Proofpoint TAP,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
步驟 1 - Proofpoint TAP API 的設定步驟
- 登入 Proofpoint TAP 控制台
- 瀏覽至 [連線 應用程式],然後選取 [服務主體]
- 建立 服務主體 (API 授權金鑰 )
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 Proofpoint TAP 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及 Proofpoint TAP API 授權密鑰(s),可供使用。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。