MailRisk by Secure Practice -connector (met behulp van Azure Functions) voor Microsoft Sentinel
Gegevensconnector voor het pushen van e-mailberichten van MailRisk naar Microsoft Sentinel Log Analytics.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | MailRiskEmails_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Veilige praktijk |
Voorbeelden van query's
Alle e-mailberichten
MailRiskEmails_CL
| sort by TimeGenerated desc
E-mailberichten met SPF-pass
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
E-mailberichten met een specifieke categorie
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
E-mailberichten met koppelings-URL's die de tekenreeks 'microsoft' bevatten
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
Vereisten
Als u wilt integreren met MailRisk by Secure Practice (met behulp van Azure Functions), controleert u of u het volgende hebt:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- API-referenties: het sleutelpaar van de Secure Practice-API is ook nodig. Deze worden gemaakt in de instellingen in de beheerportal. Als u uw API-geheim hebt verloren, kunt u een nieuw sleutelpaar genereren (WAARSCHUWING: andere integraties met het oude sleutelpaar werken niet meer).
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Secure Practice-API om logboeken naar Microsoft Sentinel te pushen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
Zorg ervoor dat deze de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit de volgende), direct beschikbaar.
Arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de MailRisk-gegevensconnector met behulp van een ARM-sjabloon.
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, API-sleutel voor secure practice, secure practice-API-geheim in
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Kopen om te implementeren.
Handmatige implementatie
In de opensource-opslagplaats op GitHub vindt u instructies voor het handmatig implementeren van de gegevensconnector.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.