Condividi tramite

Connettore MailRisk by Secure Practice (uso di Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Connettore dati per eseguire il push dei messaggi di posta elettronica da MailRisk in Microsoft Sentinel Log Analytics.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics MailRiskEmails_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Pratica sicura

Esempi di query

Tutti i messaggi di posta elettronica

MailRiskEmails_CL

| sort by TimeGenerated desc

Messaggi di posta elettronica con passaggio SPF

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

Messaggi di posta elettronica con categoria specifica

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

Messaggi di posta elettronica con URL di collegamento che contengono la stringa "microsoft"

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Prerequisiti

Per eseguire l'integrazione con MailRisk by Secure Practice (usando Funzioni di Azure) assicurarsi di disporre di:

  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • Credenziali API: è necessaria anche la coppia di chiavi API Secure Practice, che vengono create nelle impostazioni nel portale di amministrazione. Se il segreto API è stato perso, è possibile generare una nuova coppia di chiavi (AVVISO: tutte le altre integrazioni che usano la coppia di chiavi precedente smetteranno di funzionare).

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API Secure Practice per eseguire il push dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

Si prega di avere questi ID area di lavoro e chiave primaria dell'area di lavoro (può essere copiato da quanto segue), prontamente disponibile.

Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati MailRisk usando un modello di Resource Manager.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

  3. Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, la chiave API secure practice, il segreto dell'API secure practice

  4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.

  5. Fare clic su Acquista per effettuare la distribuzione.

Distribuzione manuale

Nel repository open source in GitHub è possibile trovare istruzioni su come distribuire manualmente il connettore dati.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.