共用方式為


適用於 Microsoft Sentinel 的 Proofpoint TAP (使用 Azure Functions) 連接器

Proofpoint Targeted Attack Protection (TAP) 連接器提供將 Proofpoint TAP 記錄和事件內嵌至 Microsoft Sentinel 的功能。 連接器提供 Microsoft Sentinel 中訊息和 Click 事件的可見度,以檢視儀錶板、建立自定義警示,以及改善監視和調查功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
數據收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

允許惡意代碼點擊事件

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

網路釣魚點選事件已封鎖

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

傳遞的惡意代碼訊息事件

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

網路釣魚訊息事件遭到封鎖

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

必要條件

若要與 Proofpoint TAP 整合(使用 Azure Functions),請確定您有:

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Proofpoint TAP,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

步驟 1 - Proofpoint TAP API 的設定步驟

  1. 登入 Proofpoint TAP 控制台
  2. 瀏覽至 [連線 應用程式],然後選取 [服務主體]
  3. 建立 服務主體 (API 授權金鑰 )

步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式

重要事項: 部署 Proofpoint TAP 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及 Proofpoint TAP API 授權密鑰(s),可供使用。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案