Łącznik MailRisk by Secure Practice (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych do wypychania wiadomości e-mail z usługi MailRisk do usługi Log Analytics usługi Microsoft Sentinel.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | MailRiskEmails_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Bezpieczna praktyka |
Przykłady zapytań
Wszystkie wiadomości e-mail
MailRiskEmails_CL
| sort by TimeGenerated desc
Wiadomości e-mail z przekazywaniem SPF
MailRiskEmails_CL
| where spf_s == 'pass'
| sort by TimeGenerated desc
Wiadomości e-mail z określoną kategorią
MailRiskEmails_CL
| where Category == 'scam'
| sort by TimeGenerated desc
Wiadomości e-mail z adresami URL linków zawierającymi ciąg "microsoft"
MailRiskEmails_CL
| sort by TimeGenerated desc
| mv-expand link = parse_json(links_s)
| where link.url contains "microsoft"
Wymagania wstępne
Aby zintegrować aplikację MailRisk by Secure Practice (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia interfejsu API: wymagana jest również para kluczy interfejsu API bezpiecznego rozwiązania, która jest tworzona w ustawieniach w portalu administracyjnym. Jeśli klucz tajny interfejsu API został utracony, możesz wygenerować nową parę kluczy (OSTRZEŻENIE: Wszystkie inne integracje przy użyciu starej pary kluczy przestaną działać).
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API bezpiecznego rozwiązania w celu wypychania dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
Należy mieć te identyfikatory obszaru roboczego i klucz podstawowy obszaru roboczego (można je skopiować z następującego), łatwo dostępne.
Szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika danych MailRisk przy użyciu szablonu usługi ARM.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, klucz interfejsu API bezpiecznego rozwiązania, klucz interfejsu API bezpiecznego rozwiązania
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Wdrożenie ręczne
W repozytorium open source w usłudze GitHub można znaleźć instrukcje dotyczące ręcznego wdrażania łącznika danych.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.