Proofpoint TAP -connector (met behulp van Azure Functions) voor Microsoft Sentinel
De Proofpoint Targeted Attack Protection-connector (TAP) biedt de mogelijkheid om Proofpoint TAP-logboeken en -gebeurtenissen op te nemen in Microsoft Sentinel. De connector biedt inzicht in berichten- en klikgebeurtenissen in Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en de mogelijkheden voor bewaking en onderzoek te verbeteren.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Malware klik op gebeurtenissen toegestaan
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Geblokkeerde phishingklikken
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Gebeurtenissen voor malwareberichten bezorgd
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Geblokkeerde phishingberichten
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Vereisten
Als u wilt integreren met Proofpoint TAP (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- Proofpoint TAP API-sleutel: er is een Proofpoint TAP API-gebruikersnaam en -wachtwoord vereist. Zie de documentatie voor meer informatie over proofpoint SIEM API.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met Proofpoint TAP om de logboeken naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
STAP 1: configuratiestappen voor de Proofpoint TAP-API
- Meld u aan bij de Proofpoint TAP-console
- Ga naar Verbinding maken toepassingen en selecteer Service-principal
- Een service-principal maken (API-autorisatiesleutel)
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Proofpoint TAP-connector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte hebben (kunnen worden gekopieerd uit het volgende), evenals de Proofpoint TAP API Authorization Key(s), direct beschikbaar.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.