Conector Proofpoint TAP (mediante Azure Functions) para Microsoft Sentinel
El conector Proofpoint Targeted Attack Protection (TAP) proporciona la capacidad de ingerir registros y eventos de Proofpoint TAP en Microsoft Sentinel. El conector proporciona visibilidad para los eventos de mensaje y clic en Microsoft Sentinel para ver paneles, crear alertas personalizadas y mejorar las funcionalidades de supervisión e investigación.
Este contenido se genera automáticamente. En relación con los cambios, ponte en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Eventos de clic de malware permitidos
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Eventos de clic de phishing bloqueados
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Eventos de mensajes de malware entregados
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Eventos de mensajes de phishing bloqueados
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Requisitos previos
Para realizar la integración con Proofpoint TAP (mediante Azure Functions), asegúrese de tener lo siguiente:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Clave de API de Proofpoint TAP: se requiere un nombre de usuario y una contraseña de la API de Proofpoint TAP. Consulte la documentación para más información sobre Proofpoint SIEM API.
Instrucciones de instalación del proveedor
Nota
Este conector usa Azure Functions para conectarse a Proofpoint TAP y extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.
PASO 1: Pasos de configuración para Proofpoint TAP API
- Inicie sesión en la consola de Proofpoint TAP.
- Vaya a Connect Applications y seleccione Service Principal.
- Cree un valor para Service Principal (clave de autorización de API).
PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada
IMPORTANTE: Antes de implementar el conector Proofpoint TAP, tenga a mano el identificador y la clave principal del área de trabajo (se pueden copiar con las indicaciones siguientes), así como las claves de autorización de Proofpoint TAP API.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.