Proofpoint TAP (uso del connettore Funzioni di Azure) per Microsoft Sentinel
Il connettore Proofpoint Targeted Attack Protection (TAP) offre la possibilità di inserire i log e gli eventi TAP di Proofpoint in Microsoft Sentinel. Il connettore offre visibilità sugli eventi Message e Click in Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare le funzionalità di monitoraggio e analisi.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Eventi click malware consentiti
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Eventi click di phishing bloccati
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Eventi di messaggi malware recapitati
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Eventi di messaggio di phishing bloccati
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Prerequisiti
Per eseguire l'integrazione con Proofpoint TAP (usando Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- Proofpoint TAP API Key(Chiave API TAP Proofpoint): è necessario un nome utente e una password dell'API TAP proofpoint. Per altre informazioni sull'API SIEM di Proofpoint, vedere la documentazione.
Istruzioni per l’installazione di Vendor
Nota
Questo connettore usa Funzioni di Azure per connettersi a Proofpoint TAP per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.
PASSAGGIO 1 - Passaggi di configurazione per l'API TAP proofpoint
- Accedere alla console Tap di Proofpoint
- Passare a Connetti applicazioni e selezionare Entità servizio
- Creare un'entità servizio (chiave di autorizzazione API)
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore Proofpoint TAP, disporre dell'ID dell'area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue), nonché delle chiavi di autorizzazione DELL'API Tap proofpoint, immediatamente disponibili.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.