適用於 Microsoft Sentinel 的 MailRisk by Secure Practice (使用 Azure Functions) 連接器
將數據連接器從 MailRisk 推送至 Microsoft Sentinel Log Analytics。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | MailRiskEmails_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | 安全實務 |
查詢範例
所有電子郵件
MailRiskEmails_CL
| sort by TimeGenerated desc
具有SPF傳遞的電子郵件
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
具有特定類別的電子郵件
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
包含字串 「microsoft」 的連結 URL 的電子郵件
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
必要條件
若要與 MailRisk by Secure Practice 整合 (使用 Azure Functions) 請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- API 認證:您也需要安全練習 API 金鑰組,這會在管理入口網站的設定中建立。 如果您遺失 API 秘密,可以產生新的金鑰組(警告:使用舊密鑰組的任何其他整合都會停止運作)。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到安全實務 API,將記錄推送至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
請擁有這些工作區標識碼和工作區主鍵(可從下列內容複製),隨時可供使用。
Azure Resource Manager (ARM) 範本
使用這個方法來使用ARM範本自動部署MailRisk資料連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入工作區識別碼、工作區密鑰、安全練習 API 秘密
標示為 [我同意上述條款及條件] 的複選框。
按兩下 [ 購買 ] 以部署。
手動部署
在 GitHub 上的 開放原始碼 存放庫中,您可以找到如何手動部署數據連接器的指示。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。