Connector „MailRisk by Secure Practice“ (über Azure Functions) für Microsoft Sentinel
Datenconnector zum Pushen von E-Mails aus MailRisk in Microsoft Sentinel Log Analytics.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | MailRiskEmails_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Sichere Vorgehensweise |
Abfragebeispiele
Alle E-Mails
MailRiskEmails_CL
| sort by TimeGenerated desc
E-Mails mit SPF-Pass
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
E-Mails mit einer bestimmten Kategorie
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
E-Mails mit Link-URLs, die die Zeichenfolge "microsoft" enthalten
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
Voraussetzungen
Stellen Sie für die Integration in MailRisk by Secure Practice (über Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- API-Anmeldeinformationen: Ihr Schlüsselpaar für die Sichere Praxis-API wird ebenfalls benötigt, das in den Einstellungen im Verwaltungsportal erstellt wird. Wenn Sie Ihr API-Geheimnis verloren haben, können Sie ein neues Schlüsselpaar generieren (WARNUNG: Alle anderen Integrationen, die das alte Schlüsselpaar verwenden, funktionieren nicht mehr).
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit der Secure Practice-API her, um die zugehörigen Protokolle in Microsoft Sentinel zu übertragen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Bitte halten Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel bereit (können aus dem Folgenden kopiert werden).
Azure Resource Manager (ARM)-Vorlage
Verwenden Sie diese Methode für die automatisierte Bereitstellung des MailRisk-Datenconnectors mithilfe einer ARM-Vorlage.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Schlüssel für sichere Praxis und das API-Geheimnis für sichere Praxis ein.
Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
Klicken Sie zum Bereitstellen auf Kaufen.
Manuelle Bereitstellung
Im Open-Source-Repository auf GitHub finden Sie Anweisungen zum manuellen Bereitstellen des Datenconnectors.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.